보안

방산업체 총공격 가한 北 해킹 조직…수법도 교묘했다

김보민 기자

[ⓒ픽사베이]

[디지털데일리 김보민기자] 북한 해킹조직 3곳이 국내 방산기술을 탈취하기 위해 전방위적 공격을 가한 정황이 포착됐다.

협력업체를 대상으로 선제 공격을 가한 뒤, 핵심 자료를 탈취하는 방식으로 공격법 또한 교묘해진 것으로 파악됐다. 피해 규모는 아직 알려지지 않았지만, 방산기술 특성상 여진이 거셀 전망이다.

24일 관련 업계에 따르면 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조 수사를 진행한 결과 라자루스, 안다리엘, 김수키가 방산업체를 공격한 사실을 확인했다.

라자루스, 안다리엘, 김수키 모두 북한을 대표하는 해킹조직으로 이번에 피해를 가한 국내 방산업체는 10여곳으로 알려졌다. 경찰은 공격에 활용된 아이피(IP) 주소는 물론, 뉴크스페트(Nukesped) 등 악성코드를 악용한 정황을 기반으로 북한 해킹조직 소행을 파악했다.

공격 방식은 다양했다. 먼저 라자루스의 경우 2022년 11월부터 방산업체 외부망 서버를 해킹해 악성코드 감염을 단행한 뒤, 망 연계 시스템 포트를 통로 삼아 내부망을 장악했다. 장악 이후 행보는 대담했다. 내부 컴퓨터 6대에서 중요 자료를 수집했고, 추적을 어렵게 하기 위해 국외 클라우드 서버로 관련 정보를 빼돌렸다.

안다리엘은 협력업체를 선제 공격하는 방식을 취했다. 2022년 10월경 방산 협력업체를 원격 유지 및 보수하는 기업의 계정 정보를 탈취했고, 이후 협력사 서버에 악성코드를 설치한 뒤 자료를 탈취했다. 이 밖에도 직원 상용 이메일 계정 정보를 취득한 뒤 사내 시스템에 접속해 송수신 자료를 빼내기도 했다.

김수키도 해킹 작업에 협력업체를 활용했다. 협력업체 이메일 서버가 별도 로그인 없이 외부에서 송수신 대용량 파일을 내려받을 수 있다는 취약점을 활용해 기술 자료를 빼돌렸다.

경찰은 이번 수사를 통해 최소 1년6개월 전부터 최근까지 해킹 공격이 발생했다는 점을 확인했지만, 구체적인 피해 규모를 밝히지 않았다. 북한을 대표하는 조직이 단체로 방산기술 분야에 해킹을 가한 만큼, 배후에 김정은 북한 국무위원장의 지시가 있었던 것이 아니냐는 해석도 제기된다.

한편 일각에서는 방산기술을 노린 해킹 공격이 이어질 수 있다는 관측이 나온다. 주로 취약점과 사각지대를 노리는 공격이 다수였다는 점을 고려했을 때, 방산업체는 물론 협력업체 차원에서도 보안을 강화해야 한다는 목소리가 커지고 있다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널