해킹조직 3곳, 中 특정 IP주소 사용 직원 개인 e메일 알아내 서버 공격 1년간 南방산업체 10여곳 해킹
북한의 해킹조직들은 상대적으로 보안이 취약한 외주업체의 서버나 협력업체 직원의 개인 e메일 계정을 해킹하는 ‘우회 전략’으로 국내 방산업체들의 정보를 빼낸 것으로 드러났다. 경찰이 북한 해킹에 보안이 뚫린 또 다른 국내 방산업체 10여 곳을 조사한 결과다.
23일 경찰청 국가수사본부는 북한 정찰총국 산하 해킹조직 김수키와 안다리엘, 라자루스가 2022년 10월부터 지난해 9월까지 국내 방산업체(83곳)를 대규모로 공격해 이 중 10여 곳이 실제로 해킹된 것으로 파악됐다고 밝혔다. 이들이 보유한 방산 기술 일부가 북한으로 넘어간 것으로 추정되는 가운데, 구체적인 피해 규모는 파악되지 않았다.
경찰이 확인한 북한의 공격 방식은 △방산업체 서버를 관리하는 외주업체 공격 △방산업체 서버 담당자 PC 공격 등으로 다양했다. 안다리엘은 2022년 10월경 방산업체 서버를 원격으로 관리·보수하는 협력업체 직원의 개인 e메일 계정을 알아냈다. 이 계정이 사내 e메일과 연동된 탓에 안다리엘은 협력업체 서버를 통해 방산업체의 보안을 뚫을 수 있었다. 안다리엘은 해당 방산업체의 자료를 북한이 보유한 해외 클라우드 서버로 빼돌린 것으로 파악됐다.
경찰은 이번 해킹에 사용된 인터넷주소(IP주소)와 악성코드 종류, 수법 등을 바탕으로 북한 해킹조직의 소행으로 판단했다. 조사 결과 중국 선양 지역에서 특정 IP주소가 해킹에 동원된 내역이 확인됐는데, 해당 IP주소는 2014년 한국수력원자력 해킹 공격 때 쓰였던 것과 같다는 것이다. 경찰 관계자는 “북한의 해킹 기술은 날로 고도화되고 있다”며 “방산 기술을 노린 북한의 해킹 시도는 꾸준히 이어질 것”이라고 내다봤다.
해킹당한 업체 대다수는 경찰 수사가 시작되기 전까지 피해 사실을 알지 못한 것으로 파악됐다. 방산업계 전반의 보안 관리가 허술한 게 아니냐는 지적이 나오는 대목이다. 경찰청은 방산업체와 협력업체 등에 내부망과 외부망을 분리하고 e메일 비밀번호를 주기적으로 바꾸는 등 보안 조치를 권고했다.
이상환 기자 payback@donga.com
이수연 기자 lotus@donga.com
송유근 기자 big@donga.com