세계일보

김수키, 라자루스, 안다리엘 등 3개 해킹 조직이 국내 방위산업체 10여개에서 자료를 빼낸 것으로 경찰 조사를 통해 드러난 가운데, 공격의 배후로는 북한 김정은 국무위원장 등 ‘윗선’이 지목된다. 우리나라의 중요 국가 정보 탈취에 북한이 조직적으로 나서고 있다는 뜻이다. 북한의 대남 사이버 공격이 지난해 일평균 130만여건에 달하는 것으로 추산되는 가운데, 이에 따른 보안 대책을 마련해야 한다는 지적이 나온다.

23일 국가수사본부 관계자는 수사 결과를 발표하며 “북한 해킹조직이 방산기술 탈취라는 공동의 목표를 설정해 다수의 해킹조직을 투입하는 총력전 형태로 공격을 진행하는 등 공격 수법은 더욱 치밀하고 다양하게 진행하고 있는 것으로 확인됐다”고 밝혔다.

그동안 북한 해킹 조직은 조직별로 침투 대상을 다르게 설정하는 등 각각 다른 특성을 보여왔다. 김수키는 정부기관과 정치인, 라자루스는 금융기관, 안다리엘은 국방 분야를 전담하는 식이다.

지금까지 패턴과는 다르게 이들이 한꺼번에 방산업체를 대상으로 일제히 해킹 공격에 나선 데는 김 위원장 등의 지시가 있을 것이라는 게 경찰의 판단이다. 비슷한 시기에 방산업체를 대상으로 해킹 공격에 나선 데다 각 해킹 조직의 공격 대상도 겹치지 않는다는 점이 근거다. 피해를 입은 10여개 업체에 중복으로 공격을 당한 경우는 없었다. 사전에 치밀한 계획과 역할 분배가 이뤄진 것으로 추정된다.

◆北, 협력·유지보수 업체까지 공격 확대

이번 방산업체 해킹의 또 다른 특징은 협력업체와 유지보수업체로까지 공격 대상을 넓혔다는 점이다.

안다리엘은 2022년 10월부터 방산 협력업체 A사 등을 원격으로 유지 보수하는 B 업체 직원의 계정을 탈취해 A사 서버에 악성코드를 설치한 것으로 파악됐다. 안다리엘은 감염된 A사 서버에서 해외 클라우드 서버로 자료를 빼돌렸다.

김수키는 방산 협력업체 C사의 이메일 서버 취약점을 노렸다. 이메일에 첨부된 대용량 파일의 경우 로그인 없이 외부에서 다운로드할 수 있다는 점을 파악한 뒤, 이를 이용해 지난해 4~7월 이메일로 송수신된 100MB 이상의 대용량 파일을 외부에서 내려받았다.

라자루스의 경우 2022년 11월부터 방산업체 D사의 외부망 서버에 침투해 악성코드를 퍼뜨렸다. 이어 망 연계 시스템을 통해 내부망까지 장악한 뒤, 직원 컴퓨터에서 중요한 자료를 탈취했다.

이번 조사를 통해 방산 업체의 보안 관리 허점도 드러났다. 경찰 수사 과정에서 B사의 일부 직원들은 네이버, 다음 등 상용 전자우편 계정과 사내 업무시스템 계정의 아이디와 비밀번호를 같이 사용한 것으로 확인됐다. D사의 경우 외부망과 내부망을 분리해야 하지만, 테스트 목적으로 망 연계 시스템을 열어놓은 사이 해킹 피해를 받았다.

다만 경찰은 보안 유지를 소홀히 한 책임을 물어 수사하지는 않을 방침이다. 국수본 관계자는 “해킹된 사실만으로 업체 측을 수사할 수는 없다”며 “방사청이 관련 법령에 따라 처리하게 될 것”이라고 설명했다.

◆“北, 대남 해킹 공격 130만건… 김정은 지시”

경찰은 북한의 해킹 수준을 높게 평가했다. 국수본 관계자는 “북한은 자금난 등 여러 여건상 사이버전에 굉장히 집중하고 있다. ‘가성비’(가격 대비 성능)가 좋기 때문에 수십년 전부터 해커들을 양성하고 키우고 있다”며 “관련 기술력이 떨어진다고 말할 수는 없다”라고 설명했다.

북한에 의한 해킹 위협은 점점 커지고 있다. 국가정보원에 따르면 지난해 공공분야를 대상으로 일평균 162만여건의 해킹 공격 시도가 탐지됐는데, 이는 전년 대비 36% 증가한 수치다. 전체 162만여건 중 80%에 달하는 130만건 가까이가 북한의 소행인 것으로 국정원은 추산했다.

국정원은 북한 해킹조직이 김 위원장의 지시와 관심에 따라 속도감 있게 공격 목표를 변경하는 행태를 보인다고 분석했다.

지난해 초반 김 위원장이 식량난 해결을 지시하자 국내 농수산 기관을 집중적으로 공격하고, 같은 해 8~9월에는 김 위원장의 해군력 강화 발언에 따라 국내 조선업체를 해킹해 도면과 설계자료를 훔쳤다는 것이다. 10월에는 김 위원장의 무인기 생산강화 지시에 발맞춰 국내외 관련 기관에서 무인기 엔진 자료를 수집한 사례가 확인됐다. 지난해 2월에는 사법부 전산망에서 악성코드가 발견됐는데, 이 또한 라자루스가 주로 사용하는 것과 유사한 기법인 것으로 파악됐다.

경찰은 이번 사건을 계기로 방사청과의 합동점검을 강화한다는 계획이다. 앞서 국수본은 수사와 함께 올해 1∼2월 방사청, 국정원 등 유관기관과 함께 방산업체 등을 추가피해 예방 조치도 했다.

국수본 관계자는 “방산업체의 경우 경찰 수사가 접근하기 힘든 부분도 있다”며 “방산업체에 대한 관리·감독 권한을 가진 방사청과 업무협약을 맺고 시너지 효과를 낼 수 있도록 할 예정”이라고 말했다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]