피해 규모조차 모른채… 北해킹에 방산업체 10여곳 뚫렸다

라자루스 등 설계 도면 탈취했지만
업체들 경찰 수사전까지 인지 못해
北 자금난에 최근 사이버 공격 빈번
돈 되는 일이면 개인 이메일도 해킹

북한 해킹조직들이 방산기술 탈취를 위해 방산업체는 물론 상대적으로 보안이 취약한 방산 협력업체까지 전방위적으로 공격한 사실이 23일 확인됐다. 

경찰청 국가수사본부는 이날 "국내 방산기술 유출 사건을 수사한 결과, 라자루스·안다리엘·김수키 등으로 알려진 북한 해킹조직들이 국내 방산기술을 탈취하고자 전방위적으로 공격한 것을 확인하고 보안 조치를 취했다"고 밝혔다.

이들 조직은 방산기술 탈취라는 공동의 목표를 설정한 뒤 방산업체에 직접 침투하거나 상대적으로 보안이 취약한 방산 협력업체를 해킹해 주요 서버에 악성코드를 유포한 것으로 나타났다. 경찰이 파악한 피해 업체는 10여 곳으로, 일부 업체는 경찰의 연락을 받기 전까지 해킹 피해 사실을 모르고 있었다.

북한 해킹조직들의 공격이 치밀해지고 다양해지는 상황이지만 수사 당국에서 북한 해킹 정황을 포착해도 어떤 경로로 유출된 자료가 어느 정도 규모인지 파악하기 쉽지 않다. 사이버상의 공격에서 사람의 흔적이 잘 나타나지 않는 만큼 수사 당국은 어느 시점에 자료가 유출됐는지, 어떠한 수법을 사용했는지 정도를 추정만 하는 실정이다. 이 때문에 방산업체 자체적 보안 강화 등 근본적인 해결책 마련이 필요한 상황이다.

경찰청에 따르면 라자루스·안다리엘·김수키 등 북한 해킹조직은 안보 분야를 비롯해 사법, 금융 등 여러 기관을 무차별적으로 공격하고 있다. 이들 조직은 지난해 하반기부터 최근까지 국내 반도체 장비업체들을 대상으로 해킹 공격을 시도해 제품 설계 도면과 설비 현장 사진 등을 탈취했다. 서버가 인터넷에 연결돼 취약점이 노출된 업체들이 공격 대상에 올랐다.

방산 관련 업체 공격과 다르게 악성코드 사용을 최소화하고, 서버 내 설치된 정상 프로그램을 활용해 공격하는 'LotL(Living off the Land)' 기법을 주로 구사해 보안 도구의 탐지망을 쉽게 따돌렸다. 라자루스는 사법부 전산망에 악성코드를 심어 수백 기가바이트에 달하는 자료를 빼간 것으로 파악됐다. 경찰은 라자루스가 주로 사용하는 유사한 기법의 악성코드를 확인해 이들의 소행으로 결론 내렸다.

김수키는 국내외 500여 개의 경유 서버를 장악해 내국인 1468명의 이메일 계정을 탈취하기도 했다. 피해 본 이들 중 전직 장관급 인사 1명을 비롯해 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가 57명이 포함됐다. 김수키는 공격 대상을 외교·안보 분야 공무원 등 전문가뿐 아니라 일반인까지 확대해 해킹 공격을 벌였고, 개인정보는 물론 가상자산 탈취까지 시도했다. 엄격한 보안 절차로 실제 가상자산을 빼돌리지는 못했지만, 해킹으로 장악한 경유 서버 147대에서 가상자산 채굴 프로그램을 관리자 몰래 실행해 100만원 미만의 금액을 채굴했다.

경찰은 이 같은 해킹 공격이 북한의 자금난에서 비롯된 것으로 보고 있다. 경찰청 관계자는 "북한은 자금난 등으로 여건이 어려워 사이버 공격에 집중하고 있다"며 "이 같은 공격들이 쉽게 말해 가성비가 좋기 때문에 수십년 전부터 해커를 양성해 왔다"고 말했다.