클립아트코리아
클립아트코리아

라자루스·안다리엘·김수키 등 북한 해커조직이 방산기술을 탈취하기 위해 국내 방산업체를 전방위로 공격한 정황이 경찰에 포착됐다. 여러 해커조직이 동원된 데다 방산업체와 협력·외주업체까지 표적으로 삼는 등 공격 방식도 다양했다고 경찰은 밝혔다.

경찰청 국가수사본부는 라자루스·안다리엘·김수키 등 북한 해커조직이 국내 방산업체 10여곳을 공격해 방산기술을 탈취한 사실을 확인했다고 22일 밝혔다. 북한 해커조직은 방산업체에 직접 침투하거나 상대적으로 보안이 취약한 협력·외주업체를 해킹하는 방식으로 방산업체 주요 서버에 무단 침투해 악성코드를 심은 것으로 파악됐다. 경찰은 △아이피(IP) 주소 △경유지 구축 방법 △악성코드 종류 등을 근거로 이번 공격이 북한 해커조직의 소행이라고 판단했다.

일부 업체는 특별점검이 시작된 지난 1월까지도 해킹 피해 사실조차 모르고 있던 터라, 북한의 기술탈취가 상당 기간 지속됐을 가능성도 제기된다. 경찰이 포착한 북한의 기술탈취 시점은 2022년 10월·11월·2023년 4∼7월 등이다. 경찰은 어느 시점에 자료가 탈취됐는지를 추측할 뿐, 공격 기간을 특정하기 어렵다고 밝혔다. 다만 경찰 관계자는 “수사 시작 때까지도 악성코드가 살아있었다”며 “저희가 빙산의 일각만 파악했을 수 있다”고 말했다.

광고

국내 방산기술을 훔치기 위한 북한의 공격은 방산업체뿐 아니라 협력·외주업체까지 표적으로 삼는 등 방식도 다양했다. 라자루스는 피해업체의 외부 인터넷망 서버를 해킹해 악성코드를 심은 뒤 회사 내부망에 진입하는 방식을 사용했다. 이런 식으로 개발팀 직원 컴퓨터 등 6대에서 중요 자료를 국외 클라우드로 빼돌린 것으로 조사됐다.

군사기술을 주로 탈취해온 안다리엘은 방산 협력업체의 서버를 유지보수하는 외주업체 직원의 네이버·카카오 등 일반 전자우편 계정을 탈취해 접근했다. 일부 직원들이 일반 전자우편 계정과 사내 업무 계정에서 동일한 아이디와 비밀번호를 사용한다는 허점을 악용한 것이다. 북한 해커조직 중 가장 유명한 그룹인 김수키는 방산 협력업체의 사내 그룹웨어 전자우편 서버의 취약점을 악용해 자료를 탈취했다.

광고
광고

경찰 관계자는 “기존에 역할 분담이 된 것으로 알려졌던 북한 해커조직들이 방산기술 탈취라는 공동의 목표를 설정해 일사불란하게 총력전을 펼치고 있다는 정황을 처음 확인하게 된 사건”이라고 밝혔다. 그동안 김수키는 정부기관과 정치인, 라자루스는 금융기관, 안다리엘은 국방기관을 주로 노리는 해커조직으로 알려져 있었다. 라자루스는 최근 확인된 사법부 전산망 침입도 주도했다고 경찰은 밝혔다.

이지혜 기자 godot@hani.co.kr