'라자루스·김수키' 北 해킹조직, 국내 방산업체 10여곳 해킹

라자루스·안다리엘·김수키, 방산기술 노려
"공동 목표 설정하고 전방위적 공격 수행"

[서울=뉴시스] 김남희 기자 = 북한 해킹조직들이 국내 방산업체 10여곳을 상대로 전방위적 자료 해킹을 해 온 것이 경찰 수사를 통해 드러났다.

경찰청 국가수사본부는 국가사이버위기관리단과 공조해 방산기술 유출 사건을 수사한 결과, 라자루스·안다리엘·김수키 등 북한 해킹조직들이 국내 방산기술 탈취하기 위해 전방위적으로 공격하고 있는 것을 확인했다고 23일 밝혔다.

경찰 관계자는 "북한 해킹조직들은 방산업체를 직접 해킹하거나 방산 협력업체를 먼저 해킹한 후 방산업체 자료를 탈취하는 식으로 공격했다"며 "사건을 종합할 때 이들이 방산기술 탈취란 공동 목표를 설정해 전방위적 공격을 수행한 것으로 파악된다"고 말했다.

경찰은 ▲과거 북한이 해킹 공격을 시도했던 아이피(IP) 주소가 발견된 점 ▲소프트웨어 취약점을 악용해 명령 및 제어 경유지를 구축하는 공격 방식 ▲기존에 북한 해커가 사용한 악성코드가 발견된 점 등을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다.

이번에 해킹당한 방산업체는 10여곳으로 파악됐다. 다만 경찰은 구체적인 피해업체나 탈취 자료는 국가 안보와 직결되는 사안인 만큼 공개할 수 없다는 입장이다.

이 업체들은 경찰의 연락을 받기 전까지 해킹 피해 사실을 전혀 모르고 있어, 자체 보안 시스템에 구멍이 뚫렸다는 비판을 피하기 어려울 것으로 보인다.

경찰 관계자는 "해킹 발생 추정 시점은 2022년 10~11월이지만 악성코드가 최근까지 살아있었기 때문에 자료가 계속 탈취됐을 가능성이 있다"며 "앞으로도 방산기술 탈취가 계속될 것으로 판단해 방산업체뿐만 아니라 협력업체까지 보안이 강화되도록 노력할 예정"이라고 밝혔다.

라자루스 해킹조직의 해킹 수법(제공=경찰청) *재판매 및 DB 금지

북한 해킹조직은 기존에 방산업체를 직접 공격하던 수법에서 한층 진화해, 협력업체와 서버 유지·보수업체까지 해킹을 시도한 것으로 드러났다.

라자루스는 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후, 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했다.

개발팀 직원 컴퓨터 등 내부망의 중요 자료를 수집해 국외 클라우드 서버로 자료를 빼돌린 것으로 조사됐다. 내부망 컴퓨터 6대에서 자료가 유출된 사실이 확인됐는데 피해업체와 국외 클라우 서버를 분석해 유출된 자료의 흔적을 확인할 수 있었다.

안다리엘은 2022년 10월부터 B 협력업체를 원격으로 유지보수하는 C 업체의 계정 정보를 탈취해 협력업체에 악성코드를 설치했다. C 업체 직원의 네이버·카카오 계정 정보를 통해 사내 전자우편으로 접속해 메일로 주고받는 자료를 빼돌렸다.

이는 일부 직원들이 상용 전자우편 계정과 사내 업무시스템 계정을 같이 사용하는 허점을 악용한 것이다.

해킹조직 김수키는 로그인 없이 외부에서 보낸 대용량 파일을 다운로드할 수 있다는 사내 이메일 서버의 취약점을 이용했다. 지난 2023년 4~7월 D 협력업체의 이메일을 통해 방산업체 기술 자료를 탈취했다.

경찰청은 "방산업체뿐만 아니라 협력업체에 대해서도 내외부망 분리, 전자우편 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 아이피(IP) 및 불필요한 해외 아이피(IP) 접속 차단 등의 보안 조치를 강화해 달라"고 당부했다.

아울러 이번 합동점검을 계기로 방위사업청과 업무 협약을 맺고 방산업체에 대한 해킹 공격에 유기적으로 대응하기로 했다.

☞공감언론 뉴시스 nam@newsis.com