북한 3대 해킹조직 합동공격, 국내 방산업체 10곳 뚫렸다

북한 김정은 국무위원장이 지난 22일 진행된 핵반격 가상종합전술훈련에서 초대형 방사포(KN-25)가 목표물인 동해 무인도에 명중하는 모습을 가리키면서 웃고 있다. [연합뉴스]

유엔 안전보장이사회 제재를 받고 있는 북한의 3대 해킹조직이 합동으로 80여곳이 넘는 국내 방산업체에 대한 해킹 공격을 한 사실이 확인됐다. 북한 해킹조직들의 합동 공격이 적발된 것은 이번이 처음이다.

경찰청 국가수사본부 안보수사국은 23일 국가사이버위기관리단과의 공조 수사를 통해 북한 해킹조직 김수키·라자루스·안다리엘이 1년 6개월여 전부터 국내 방산기술을 탈취하기 위해 합동으로 해킹에 나섰고, 국내 방산업체 83곳 중 10여곳이 해킹 피해를 본 사실을 확인했다고 밝혔다.

국수본 관계자는 “기존에 김수키는 정부기관과 정치인, 라자루스는 금융기관, 안다리엘은 군과 국방기관 등을 주로 공격하도록 역할 분담이 된 것으로 알려졌다”며 “하지만 이번 수사를 통해 하나의 목적을 두고 비슷한 시기에 함께 전방위적으로 공격했다는 사실이 확인됐다”고 말했다.

국수본에 따르면 이들 해킹조직들은 방산업체에 직접 침투하기도 했지만, 상대적으로 보안이 취약한 방산 협력업체를 해킹해 서버 계정정보를 탈취한 후 주요 서버에 무단 침투해 악성코드를 유포하는 수법을 썼다. 라자루스는 2022년 11월쯤부터 방산업체 A사의 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계시스템의 포트를 통해 회사 내부망까지 장악했다. 이후 개발팀 직원 컴퓨터 등 내부망 컴퓨터 6대에서 중요자료를 수집해 국외 클라우드 서버로 빼돌렸다.

정근영 디자이너

안다리엘의 경우 2022년 10월쯤부터 방산 협력업체 B사 등을 원격으로 유지·보수하는 C사의 계정정보를 탈취해 B사 등의 서버에 악성코드를 설치한 후 방산기술 자료를 빼냈다. 김수키는 2023년 4~7월 방산 협력업체 D사의 이메일 서버에서 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 내려받을 수 있는 취약점을 악용해 자료를 빼돌렸다.

경찰은 공격에 사용된 IP 주소와 악성코드, 소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식 등을 근거로 북한 해킹조직의 소행으로 판단했다고 설명했다. 일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데 이는 2014년 한국수력원자력 해킹 공격 당시 사용됐던 IP와 동일한 것으로 나타났다. 국수본 관계자는 “구체적인 피해 규모는 국방부와 방위사업청에서 파악할 예정”이라고 말했다.

이런 가운데 북한은 지난 22일 동해상으로 단거리탄도미사일(SRBM) 수 발을 발사한 것에 대해 김정은 국무위원장이 직접 지도한 이른바 ‘핵 방아쇠(국가 핵무기 종합 관리체계)’에 따른 핵반격 가상 종합 전술훈련이었다고 주장했다.

이날 조선중앙통신은 “김 위원장이 참관한 가운데 국가 핵무력의 신속 반격 능력에 중요한 역할을 하는 초대형 방사포병 부대들의 운용 훈련을 했다”며 초대형 방사포(KN-25) 네 발이 이동식발사대(TEL)에서 동시에 발사되는 장면을 공개했다.

‘핵 방아쇠’는 지난해 3월 북한이 처음 사용한 용어인데, 당시 전술핵탄두인 ‘화산-31형’을 공개하면서 “핵 방아쇠는 다각적인 작전 공간에서 각이한 수단으로 핵무기를 통합 운용하는 것”이라고 설명했다. 그러면서 북한은 같은 달 북한판 이스칸데르(KN-23)를 이용해 첫 핵반격 훈련을 했다. KN-23과 KN-25의 사거리를 감안할 때 남한을 핵 공격 대상으로 두고 있음을 분명히 한 것이다.

이근평·이유정·김선미 기자 uuu@joongang.co.kr

▶ 중앙일보 / '페이스북' 친구추가

▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!

ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지