[단독]北추정 해커, 현대차그룹 계열사 피싱 사이트 개설

해킹사이트

현대제철, 현대건설 등 현대자동차그룹 계열사들이 이용 중인 사내 인트라넷을 위장한 피싱 사이트가 등장했다가 사라졌다. 직원들도 인지하기 어려울 정도의 교묘한 사이트로, 보안업계에서는 북한 측에서 현대차그룹의 정보를 빼내기 위해 만든 것으로 추정하고 있다.

3일 보안업계에 따르면 현대차와 기아차를 제외한 현대차그룹 계열사의 임직원들이 사용하는 인트라넷을 본떠 만든 해킹 사이트가 이번 주 들어 개설됐다가 3일 오후 돌연 사라졌다. 해당 사이트는 현대차그룹 인트라넷의 문패(글로벌 커뮤니케이션 오토웨이)를 비롯해 아이디, 비밀번호를 입력하는 유저 인터페이스(UI)까지 실제와 흡사했다. 인터넷 주소(autoway.hyundai.○○)도 실제 사이트(autoway.hyundai.net)와 비슷하다. 해당 사이트를 접한 현대자동차그룹 관계자들은 “사이트가 회사의 것과 똑같다” “감쪽같다”는 반응을 보였다.

현대차그룹 사이트

보안업계에서는 해커가 현대차그룹 관계자들에게 업무로 위장한 이메일, 문자메시지 등에 해당 사이트 링크를 포함해 보낸 뒤 접속하도록 유도했을 것으로 보고 있다. 첨부된 링크를 클릭한 뒤 아이디와 비밀번호를 입력하면 해커들에게 정보가 전송되는 식이다. 이를 통해 해커들은 실제 사이트에 접속해 사내 기밀을 빼낼 수도 있다. 현대차그룹 측은 “오토웨이를 사칭한 공격이 있었던 것은 맞다”며 “보안 시스템을 통한 차단으로 실제 피해 사례는 없다”고 했다.

업계에서는 북한 측에서 피싱 사이트를 만들었을 것으로 보고 있다. 한 화이트해커는 “현대차그룹 피싱 사이트 개설자가 최근 국내외 백신업체를 공격했던 북한 해커들이 이용한 서버를 사용한 정황이 있다”며 “과거 북한 해커들이 피싱 사이트를 만들어 해킹을 시도하다 3, 4일 뒤 폐쇄하는 식으로 자신들의 행위를 은폐하려 했는데 이런 양상도 비슷하다”고 전했다. 앞서 2일 외신들은 북한 해커들이 한국과 미국, 영국 제약회사들을 대상으로 해킹을 시도했다고 보도한 바 있다.

북한 해커들이 현대차그룹 계열사의 사이트를 노린 진짜 목적이 핵심 계열사인 현대차와 기아차의 정보를 캐내려는 것이라는 해석도 나온다. 현대차와 기아차는 현대차그룹과는 별도로 인트라넷 사이트를 운영 중인데, 이를 직접 해킹하지 않고 우회적으로 접근하려 했을 수도 있다는 것이다.

글로벌 보안업체 파이어아이의 전수홍 한국 지사장은 “반도체 기업의 정보를 캐내기 위해 해당 회사의 물류 계열사를 해킹해 반도체 운송 정보를 알아내는 등 공급망 공격을 통한 우회 정보 획득 양상이 최근 빈번하게 일어나고 있다”며 “기업이 피해를 입지 않으려면 의심스러운 이메일, 문자는 열어보지 않고 삭제하도록 임직원들을 지속적으로 교육할 수밖에 없다”고 말했다.

신무경기자 yes@donga.com