침해사고/위협동향

사이버테러 준비했나…북한, 대기업 그룹 전산망 해킹

최민지

[디지털데일리 최민지 기자] 한진과 SK그룹 등 국내 방위산업 관련 대기업이 북한으로부터 사이버 공격을 당해 4만여건 문서를 뺏긴 것으로 드러났다 .

13일 경찰청 사이버안전국은 북한이 국내 다수 대기업에서 사용하는 기업 PC관리시스템의 취약점을 발견하고, 이를 사용 중인 그룹사 전산망을 지난 2014년 7월부터 해킹해 전산망 통제권 및 문서를 탈취한 후 전산망 마비 공격 등을 준비해 온 사실을 확인했다고 발표했다.

공격자들이 주로 탈취한 문서는 주로 방위산업 관련 자료 또는 사이버테러에 유용한 네트워크 전산 자료로, 경찰이 복구해 확인한 문서는 총 4만2608건에 달한다. 이 중 방위산업 관련 정보 등은 4만187건, 통신설비 등 관련 자료는 2421건이다.

공격자는 2014년부터 장기간 사전 준비 작업을 하고, 일부 그룹사 대상 사이버테러를 시도할 수 있는 서버·PC통제권을 탈취한 상태에서도 즉시 공격하지 않고 있었다. 이는 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도했다는 방증이다.

또한 다수의 사이버테러 대상을 폭넓게 확보한 후 동시에 공격할 계획이었거나, 산업 및 군사기밀에 관한 주요 문서를 장기간 지속적으로 탈취하기 위한 목적이었을 가능성도 점쳐진다.

사이버안전국은 북한의 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위해 사전 탐지 활동을 진행하던 중 지난 2월 악성코드 관련 첩보를 입수해 수사를 진행했다. 수사 기간 33종의 악성코드를 확보해 분석했고, 16대 공격서버를 확인했으며 유출된 문서 4만여건을 복원했다.

이 과정에서 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’의 공격 IP와 동일한 북한 평양 류경동 소재 IP에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이뤄진 사실을 포착했다고 경찰 측은 설명했다.

경찰에 따르면 북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작했으며 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용했다.

이번 해킹에 사용된 M사의 PC관리시스템은 관리자 권한이 없어도 원격 접속해 임의로 파일배포·원격제어를 할 수 있는 미인증 우회 취약점이 있었다. 그러나 해당 업체에서는 이러한 취약점을 인지하지 못한 상태였다.

이에 경찰은 해당 제품을 제작한 M사와 이를 사용하고 있던 160여개 기관·업체 및 피해 그룹에 즉시 통보해 취약점을 보완토록 조치했다.

경찰청 사이버안전국 측은 “북한의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고, 앞으로도 주요 공공기관 및 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력하겠다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널