북한 해커조직들이 방산기술을 탈취하기 위해 최소 1년 6개월 전부터 국내 방산업체를 전방위로 공격한 정황이 확인됐다.

경찰청 국가수사본부(국수본)는 라자루스·안다리엘·김수키 등 북한의 대표적인 해커조직들이 국내 방산업체 10여곳을 공격해 방산기술을 탈취한 사실을 확인했다고 23일 밝혔다.

경찰은 북한의 해킹 공작 흐름을 확인하는 과정에서 입수한 자체 첩보와 관계기관 간 사이버 위협 정보 공유를 토대로 국내 방산업체 10여곳이 해킹당한 사실을 인지했다. 또 △공격에 사용된 인터넷주소(IP)와 악성코드 △소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식 등을 근거로 북 해킹조직의 소행으로 판단했다.

일부 피해 사례의 경우 중국 선양지역 특정 IP 내역이 확인됐다. 이는 2014년 한국수력원자력 공격 때 쓰였던 것과 동일하다.

북한 해커조직은 방산업체에 직접 침투하거나 상대적으로 보안이 취약한 협력·외주업체를 해킹하는 방식으로 방산업체 주요 서버에 무단 침투해 악성코드를 심었다.

일부 업체는 특별점검이 시작된 지난 1월까지도 해킹 피해 사실조차 모르고 있었다.

경찰은 이번 수사로 최소 1년 6개월 전부터 비교적 최근까지 해킹 공격이 있었다는 사실은 확인했지만, 구체적인 범행 기간과 전체적인 피해 규모는 파악이 어렵다고 밝혔다.

국수본 관계자는 “수사 시작 때까지 악성코드가 살아있었다”며 “빙산의 일각만 파악했을 수 있다”고 말했다. 이어 “피해 규모는 관리·감독 기관인 국방부와 방위사업청에서 심도 있게 들여다볼 예정”이라고 덧붙였다.

그동안 국내 방산기술을 훔치기 위해 방산업체를 공격하던 해킹 조직들이 이번에는 상대적으로 보안이 취약한 협력·외주업체까지 표적으로 삼았다.

라자루스는 피해업체의 외부 인터넷망 서버를 해킹해 악성코드를 심은 뒤 회사 내부망에 진입하는 방식을 사용했다. 해당 업체 개발팀 직원 컴퓨터 등 6대에서 중요 자료를 국외 클라우드로 빼돌린 것으로 확인됐다.

안다리엘은 방산 협력업체의 서버를 유지보수하는 외주업체 직원의 네이버·카카오 등 일반 전자우편 계정을 탈취해 접근했다. 또 김수키는 방산 협력업체의 사내 그룹웨어 전자우편 서버의 취약점을 악용해 자료를 빼냈다.

국수본은 수사와 함께 1월 15일부터 2월 16일까지 방사청, 국가정보원 등과 방산업체 등을 대상으로 합동 점검을 벌여 추가피해 예방 조치를 했다.

국수본 관계자는 “북한 해킹조직의 방산기술 탈취 공격이 지속될 것”이라며 “방산업체뿐 아니라 협력업체까지 자체적으로 보안을 강화하도록 방사청과 업무협약을 맺어 협력을 강화할 계획”이라고 말했다.

장세풍 기자 spjang@naeil.com