북한 해킹조직 3곳이 국내 방산업체들을 겨냥해 합동으로 해킹 공격한 것으로 확인됐다. 국내 업체 83곳 중 10여 곳이 피해를 입었다.

23일 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 수사한 결과 북한 해킹조직 라자루스·안다리엘·김수키가 국내 방산기술 탈취를 노리고 합동 공격한 사실이 확인됐다고 밝혔다.

경찰은 북한의 해킹 공작 흐름을 확인하는 과정에서 입수한 첩보와 관계기관이 공유해온 사이버 위협 정보를 바탕으로 국내 업체 10여곳이 최소 1년 6개월 전부터 해킹 당한 사실을 파악했다.

공격에 사용된 IP 주소와 악성코드, 소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식을 근거로 북한 해킹조직의 소행으로 판단했다는 게 경찰의 설명이다.

일부 피해 사례는 중국 선양 지역에서 특정 IP 내역이 확인됐다. 이는 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것으로
파악됐다.

해킹조직은 방산업체에 직접 침투하거나, 보안이 약한 방산 협력업체부터 접근했다. 협력사를 해킹해 방산업체의 서버 계정 정보를 탈취한 후 서버에 무단 침투해 악성코드를 유포하는 식이다.

라자루스는 2022년 11월부터 한 방산업체 외부망 서버를 해킹해 악성코드를 심은 후 회사 내부망을 장악, 컴퓨터 6대에서 중요 자료를 수집해 국외 서버로 빼냈다.

안다리엘은 2022년 10월쯤부터 방산 협력업체를 원격으로 유지·보수하는 업체의 계정 정보를 알아낸 뒤 협력업체 등의 서버에 악성코드를 설치해 자료를 빼냈다.

김수키는 작년 4∼7월 또 다른 방산 협력업체의 이메일 서버에서 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 내려받을 수 있는 취약점을 악용해 정보를 빼냈다.

경찰은 북한이 방산기술 탈취라는 공통 목표를 만들고 여러 해킹조직을 투입하는 총력전 공격을 감행했다는 점에 의미를 뒀다. 배후에는 김정은 북한 국무위원장의 지시가 있었을 것으로 추정했다.

국가수사본부는 수사와 더불어 지난 1월 15일부터 2월 16일까지 방사청, 국가정보원과 방산업체 등을 대상으로 합동 점검을 벌여 추가피해 예방 조치를 했다고 밝혔다.