북한 해킹조직, 국내 방산업체 10여곳 해킹…1년넘게 몰랐다

‘김수키’, ‘라자루스’, ‘안다리엘’ 등 북한 해킹조직들이 국내 방산업체 83곳 중 10여곳을 상대로 전방위적 자료 해킹을 해왔는데 업체들은 1년 넘게 이 사실을 알지 못한 채 악성코드를 방치한 것으로 드러났다.

경찰청은 북한 해킹조직이 늦어도 2022년 하순부터 최근까지 국내 방산기업 10여곳을 공격해 방산 자료를 빼간 사실을 확인했다고 23일 밝혔다.

국내 방산업체 대다수가 대기업인 것을 감안하면 핵심기술이 대거 탈취됐을 가능성이 높다.

이들 업체 대부분은 경찰이 올해초 방위사업청 등과 특별점검에 나설 때까지 해킹 피해 사실을 전혀 모르고 있었다.

해킹 공격이 늦어도 2022년 10월 시작된 것으로 파악하고 있어서, 최소 1년 4개월간 주요 기술자료가 유출됐을 가능성이 높다.

경찰은 김수키, 라자루스, 안디엘 등 3개 북한 조직이 해킹을 주도한 것으로 보고 있다. 3개 조직은 범행을 사전모의한 것처럼 각기 다른 국내 방산기업을 타겟으로 삼았다.

경찰은 “김수키는 정부기관과 정치인, 라자루스는 금융기관, 안다리엘은 군을 타겟으로 삼는 등 역할을 분담한 것으로 이제껏 알고 있었다”면서 “이들 조직이 방산기술 탈취라는 공동 목적으로 전방위 공격을 하는 사실은 이번에 알게 됐다”고 밝혔다.

북한 해킹조직은 기존에 방산업체를 직접 공격하던 수법에서 한층 진화해, 협력업체와 서버유지·보수업체까지 해킹을 시도했다.

특히 ‘김수키’는 로그인 없이 외부에서 보낸 대용량 파일을 다운로드 할 수 있다는 사내 이메일 서버의 취약점을 이용해 A 협력업체의 이메일을 통 방산업체 기술자료를 탈취했다.

‘안다리엘’은 협력업체 직원의 개인 이메일 계정정보를 탈취, 사내 이메일에 접속하는 방식으로 해킹했다. 일부 직원들이 개인 이메일 아이디와 비밀번호를 사내 이메일에도 똑같이 사용하는 허점을 이용한 것이다.

경찰은 “방산업체뿐 아니라 협력업체에 대해서도 내외부망 분리, 전자우편 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외IP 접속 차단 등의 보안 조치를 강화해 달라”고 주문했다.

경찰은 앞으로도 방산기술 탈취가 계속될 것으로 보고 방산업체 뿐 아니라 협력업체까지 보안이 강화되도록 힘쓸 예정이다.

김동영 온라인 뉴스 기자 kdy0311@segye.com

세계일보