[디지털데일리 김보민기자] 방위산업(이하 방산)을 노린 사이버 위협이 수그러들 기미를 보이지 않고 있다. 북한 배후로 알려진 해킹 조직은 하반기에도 위협 난도를 높이며 내부 정보를 빼가는 공격을 이어갈 것으로 예상된다.

최근 발생한 일부 해킹 사례의 경우, 경찰 수사가 시작되기 전까지 피해 사실을 인지하지 못하기도 했다. 방산에 특화된 관제 체계가 강화될 필요가 있다는 목소리에 힘이 실리는 이유다.

13일 보안업계에 따르면 북한은 해킹과 사이버 공격으로 핵무기 등 대량살상무기(WMD) 개발 재원을 모으고 있다. 유엔 안전보장이사회(이하 안보리) 산하 대북제재위원회의 연례 보고서를 기준으로 보면, 개발 재원의 40%는 사이버 공격으로 충당되고 있다.

북한이 사이버 공격으로 얻은 '재원'은 단순 금전 만을 의미하는 것은 아니다. 내부 기밀 정보과 기술 데이터를 훔치는 일은 일상화가 됐고, 방산은 이러한 소스를 얻기 위한 핵심 공격 대상이 됐다. 국가정보원(이하 국정원)에 따르면 최근 3~4개월 사이 방산업체와 협력사에 대한 공격은 큰 비중으로 지속되고 있다.

최근에도 방산업체를 노린 공격은 계속됐다. 대표적으로 북한 라자루스, 안다리엘, 김수키가 국내 방산업체 10여곳을 대상으로 해킹을 가한 사실이 올 초 수면에 오르기도 했다. 북한 해킹조직은 방산 업체를 직접 침투하기도 하고, 상대적으로 보안이 취약한 방산 협력업체를 해킹해 주요 서버에 무단 침투하는 양상을 보였다.

일례로 라자루스는 피해 업체가 내부망과 외부 인터넷망을 분리 운영했지만, 망연계 시스템 관리가 소홀했다는 점을 파고들기도 했다. 2022년 11월부터 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후, 테스트 목적으로 열려 있는 망연계 시스템 포트를 통해 내부망을 장악한 방식이다. 개발팀 직원 컴퓨터 등 내부망 중요 자료를 수집해 국외 클라우드 서버로 자료를 빼가기도 했다.

안다리엘과 김수키도 비슷한 공격 양상을 취하고 있다. 안다리엘의 경우 2022년 10월부터 방산 협력업체 등을 원격을 유지 보수하는 다른 기업의 계정 정보를 탈취했다. 이후 방산 협력업체 등에 악성코드를 설치했고, 이 과정에서 방산기술 자료를 빼갔다. 김수키 또한 사내에서 사용하는 그룹웨어 전자우편 서버의 취약점을 악용해 기술 자료를 탈취한 사례가 있다.

문제는 이러한 사태가 발생하더라도 기업 본인이 피해 사실을 즉각 인지하기 어렵다는 것이다. 글로벌 단위로 보면 방산업체 70%는 '소규모 기업'으로 분류되는데, 대다수가 사이버 보안에 투자를 집행하기 어려운 곳들이다. 보안 체계를 갖췄더라도 이를 운영할 전문 인력을 배치하는 것 또한 과제다.

방위 업무를 영위하는 공공 차원에서도 고민이 깊어지는 분위기다. 방산침해대응협의회에 참여한 방위사업청, 국정원 등 정부 관계기관은 방산 체계업체 등에 맞춤형 지원을 할 예정이다. 관제 지원에도 속도를 올린다.

방위사업청은 기술 유출 방지시스템 구축 등을 추진하고, 하반기부터 방산 사이버보안 관제 서비스에도 힘을 보탠다. 방위사업청 출연기관인 국방기술품질원은 이달 '방산 사이버보안 관제체계 구축 및 시범운영'이라는 이름으로 사업 공고를 내기도 했다. 보안업계 관계자는 "사이버 공격을 탐지하고 대응한다는 기초적인 체계부터 잡아가는 것이 관건"이라고 말했다.