모든 북한 해커가 노린 건 남측 '방산기술'... "김정은 구체적 지시"

라자루스, 김수키 등 北 해킹조직들
2022년부터 방산기술 탈취 '총력전'
협력업체 먹잇감, 외부망 허점 노려

게티이미지뱅크

북한발(發) 대남 사이버 공격이 위험 수위를 넘어섰다. 라자루스, 안다리엘, 김수키 등 잊을 만하면 등장하는 북한의 대표 해킹조직들의 궁극적 탈취 목표는 남측의 '방위산업 기술'이었다. 국내 업체 83곳 중 최소 10곳이 해킹 피해를 당했다.

23일 경찰에 따르면, 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조수사를 통해 2022년 10월부터 지난해 7월까지 북한 해킹조직 3곳이 국내 방산기술 자료 탈취를 목적으로 전방위적 해킹에 나선 사실을 확인했다.

그간 북한 해킹조직들은 정부기관이나 정치인, 금융기관, 군 당국 등을 주로 공격하는 것으로 알려졌다. 이들이 방산기업과 협력업체를 겨냥해 조직적으로 공격한 정황이 드러난 건 처음이다. 2014년 한국수력원자력 해킹 공격 때 쓰인 중국 선양의 인터넷주소(IP)가 동일하게 확인되거나 감염된 PC에서 과거 북한 해커가 사용한 악성코드가 발견된 것이 대표적 증거다. 국수본 관계자는 "해킹조직 배후에는 김정은 북한 국무위원장의 구체적 지시가 있었을 것으로 추정된다"고 설명했다.

해킹조직들은 쓸 수 있는 수법을 총동원했다. 우선 상대적으로 보안시스템이 취약한 방산협력업체를 타깃 삼았다. 안다리엘은 서버 유지 보수업체 직원이 사용하는 계정을 탈취해 악성코드를 감염시켜 기술자료를 빼냈다. 일부 직원이 네이버 등의 이메일 계정과 사내 업무시스템 계정을 같이 사용하는 허점을 파고든 것이다. 김수키의 경우 지난해 4~7월 한 방산협력업체의 이메일 서버에 침입해 대용량 파일을 외부에서 통째로 내려받기도 했다.

북한 해킹조직 안다리엘이 2022년 10월 방산협력업체를 해킹한 수법. 경찰청 국수본 제공

방산기업 측이 내부망을 따로 구축해도 소용없었다. 라자루스는 방산업체의 외부망을 먼저 해킹한 뒤 테스트 목적으로 열려 있는 망 연계 시스템 포트를 이용해 내부망까지 장악했다. 개발팀 직원 등 6대 컴퓨터에서 중요자료를 수집한 후 국외 클라우드 서버로 빼돌렸다.

경찰은 10여 곳의 방산업체가 해킹 피해를 입은 것으로 보고 있다. 다만 정확한 범행 기간과 전체 피해 규모는 파악이 어렵다. 북측이 탈취를 시도한 기술이나 국가전략기술 유출 여부도 보안 관계상 공개하지 않았다.

경찰은 올해 초 관계기관 합동점검을 통해 피해 보호조치를 실시하는 한편 방산업계에 보안조치를 강화해 달라고 주문했다. 국수본 관계자는 "북측이 지속적으로 해킹을 시도할 것으로 전망되는 만큼 내외부망 분리, 이메일 비밀번호 주기적 변경 등 보안을 강화해야 한다"고 당부했다.

이승엽 기자 sylee@hankookilbo.com