'라자루스·김수키' 북한 해킹부대, 방산기업 10여곳 털었다

/사진=임종철 디자이너

북한군이 운영하는 해커부대가 한국 방산업체들을 조직적이고 전방위적으로 공격하고 있는 사실이 밝혀졌다. 금융·국가기관·암호화폐 해킹을 주로 자행하는 해커부대들이 일제히 방산업체를 공격했고, 피해 업체들은 경찰의 연락을 받기 전까지 해킹 피해 사실을 전혀 모르고 있던 상태였던 것으로 드러났다.

경찰청 국가수사본부는 국가사이버위기관리단과 공조해 국내 방산기술 유출 사건을 수사한 결과 라자루스·안다리엘·김수키 등으로 알려진 북한 해킹조직이 국내 방산기술 탈취하기 위해 국내 업체들을 공격, 10여 곳에 실제 피해가 발생한 것을 확인하고 보안 조치를 취했다고 23일 밝혔다. 국가사이버위기관리단은 국가정보원과 정부·공공·민간 전문가들이 합동으로 사이버위기에 대응하기 위해 지난해 출범한 조직이다.

경찰 등은 지난 1월15일부터 한달간 특별점검을 실시, 2022년 10월부터 방산업계에 대한 전방위 해킹 공격이 이뤄지고 있는 사실을 확인했다. 해킹 조직들은 방산업체를 직접 침투하기도 하고 상대적으로 보안이 취약한 협력업체를 해킹해 원청업체 서버 계정정보를 탈취하는 방법으로 악성코드를 유포했다.

경찰은 △공격에 사용한 아이피(IP) 주소 △경유지 구축 방법 △공격에 사용한 악성코드 등을 근거로 해킹을 자행한 이들을 북한 정찰총국 소속 해킹부대 라자루스와 김수키, 안다리엘로 특정했다. 라자루스는 주로 금융분야 정보 수집, 김수키는국가기관·정치인 정보 수집, 안다리엘은 가상자산 탈취 등에 특화돼 있지만 이번 방산분야 해킹에는 이들 조직이 모두 참여한 것으로 나타났다.

경찰 관계자는 "북한 해킹조직은 방산기술 탈취라는 공동의 목표를 설정해 다수의 해킹조직을 투입하는 총력전 형태로 공격을 진행하는 등 공격 수법은 더욱 치밀하고 다양하게 진행하고 있는 것으로 확인됐다"며 "특별점검 과정에서 피해업체들은 경찰의 연락을 받기 전까지 피해 사실을 전혀 모르고 있었다"고 밝혔다.

/사진제공=경찰청

경찰 발표에 따르면 라자루스는 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려 있는 망 연계 시스템에 침투해 회사 내부망까지 장악했다. 업체가 망 연계 시스템 관리를 소홀히 한 점을 이용한 것이다. 라자루스는 개발팀 직원 컴퓨터 등 PC 6대에서 중요 자료를 수집했다.

/사진제공=경찰청

안다리엘은 2022년 10월쯤부터 B 방산 협력체 등을 원격으로 유지·보수하는 B업체에서 계정정보를 탈취했고, 이를 통해 C 업체에 악성코드를 설치했다. 이 과정에서 감염된 서버에 저장된 방산기술 자료가 유출됐다. B업체의 계정정보는 이 곳 직원의 네이버·카카오 등 개인 이메일 정보를 탈취하고 동일 주소의 사내 이메일로 접속해 취득했다.

/사진제공=경찰청

김수키는 방산업체 그룹웨어 전자우편 서버의 취약점을 악용했다. D 방산 협력업체 이메일은 대용량 파일을 송수신할 경우 로그인 없이도 다운로드가 가능한 시스템이었다. 이들은 이 취약점을 이용해 2023년 4월부터 7월까지 피해업체의 기술자료를 빼갔다.

경찰청 관계자는 "방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망된다"며 "방산업체 뿐만 아니라 협력업체에도 △내외부망 분리 △전자우편 비밀번호 주기적 변경과 2단계 인증 등 계정 인증 설정 △인가되지 않은 IP, 불필요한 해외 IP 접속 차단 같은 보안 조치를 강화해야 한다"고 말했다.