사진=뉴스1

북한 해킹조직이 국내 방위산업 기술을 훔치기 위해 방산기업 10여 곳을 전방위적으로 해킹한 사실이 뒤늦게 확인됐습니다.

경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 함께 수사한 결과 라자루스·안다리엘·김수키 등으로 알려진 북한 해킹조직들이 지난 2022년 10~11월, 지난해 4~7월께 우리 방산기업 10여 곳을 해킹했다고 밝혔습니다.

경찰은 이들이 해킹 공격에 사용한 IP 주소, 경유지 구축 방법, 사용된 악성코드 등이 기존에 북한 해커 조직의 것과 같다는 점을 근거로 이번 사건을 북한의 소행으로 판단했습니다.

공격 방식은 해킹그룹별로 다양했습니다.

'라자루스'는 국내 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 망 연계 시스템 포트를 통해 회사 내부망을 장악, 개발팀 직원 컴퓨터 등 내부망의 중요 자료를 수집해 해외 클라우드 서버로 자료를 빼돌린 것으로 조사됐습니다.

'안다리엘'은 방산 협력업체 서버를 원격 유지보수하는 업체의 계정 정보를 빼돌려 악성 코드를 설치해 방산 기술 자료를 빼냈고, '김수키'는 방산업체 사내 이메일 서버가 로그인 없이 외부에서 대용량 파일을 다운로드 가능하다는 점을 악용해 기술자료를 탈취한 것으로 나타났습니다.

경찰은 일부 피해 업체들이 경찰의 연락을 받기 전까지 해킹 피해 사실을 전혀 모르고 있었다고 설명했습니다.

경찰은 피해를 입은 국내 방산업체와 유출된 기술이 구체적으로 무엇인지에 대해서는 국가안보와 직결되는 사안이라 공개하기 어렵다고 밝혔습니다.

안보수사국 관계자는 "기존의 북한 해킹그룹 3곳의 특징이 김수키는 정부기관·정치인, 라자루스는 금융기관, 안다리엘은 군·국방을 대상으로 역할 분담이 돼있다고 봤지만 이번 사건 결과를 종합해 보니 하나의 목적을 갖고 전방위적으로 공격하고 있다는 걸 확인하게 됐다"고 말했습니다.

이어 "방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망된다"며 "방산업체 뿐만 아니라 협력업체에 대해서도 내·외부망 분리, 전자우편 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 접속 차단 등의 보안 조치를 강화해 달라"고 당부했습니다.