국정원 “악성코드 방식 노출되자
프로그램 조작 자급자족식 공격”
북한이 지난해 말과 올해 초 국내 반도체 장비업체들을 잇달아 해킹해 제품 설계도면을 빼냈다고 국가정보원이 4일 밝혔다.
북한 해킹 조직은 악성코드 사용을 최소화하고, 서버 내에 설치된 정상 프로그램을 활용해 공격하는 기법을 구사한 것으로 드러났다. 우리 정보당국이 북한 해커들의 악성코드 공격 패턴을 파악해 탐지하자 새로운 공격 방식으로 침투하고 있는 것.
대북 제재로 반도체 조달에 어려움을 겪는 북한은 군사정찰위성·미사일 등 무기 개발에 따라 반도체 수요가 증가했다. 이에 주요 반도체 부품을 자체 생산하기 위해 국내 업체의 기술 탈취에 나섰을 가능성이 있는 것으로 국정원은 보고 있다.
국정원 등에 따르면 북한 해킹 조직은 지난해 12월 국내 반도체 장비업체인 A사의 형상관리 서버를 해킹해 제품의 설계도면과 설비 현장 사진 등을 탈취했다. 올 2월에는 또 다른 국내의 반도체 장비업체인 B사의 보안정책 서버를 해킹해 설계도면 등 자료를 빼냈다.
북한은 회사 업무용 서버가 인터넷망과 그대로 연결돼 취약점이 드러난 반도체 장비업체들을 주로 공략했다. 북한 해커들은 인터넷망으로 회사 업무용 서버에 침투했고, 별도로 악성코드를 심는 대신에 이 회사 서버의 정상 프로그램을 조작해 해킹 공격을 했다. 이는 최근 북한 해커들이 악성코드 대신 활용하는 ‘자급자족식 공격(LotL·Living off the Land)’ 방식이라고 국정원은 밝혔다.
국정원은 피해 업체들에 해킹 사실을 통보하고 보안 대책을 지원했다고 밝혔다. 또 이번에 해킹 피해를 당하지 않은 국내의 주요 반도체 업체들을 상대로도 자체 보안 점검을 하도록 했다. 국정원 관계자는 “인터넷에 노출된 서버를 대상으로 보안을 업데이트하거나 접근을 제어해야 한다”고 당부했다.
고도예 기자 yea@donga.com
신규진 기자 newjin@donga.com
댓글 0