연합뉴스북한 해커 조직이 국내 방산업체 10여 곳을 해킹해 내부 자료를 빼간 것으로 드러났다. 기업들은 경찰 수사가 시작되기 전까지 해킹 피해 사실을 몰랐고, 악성코드가 그대로 살아있었던 것으로 전해졌다. 경찰은 "북한이 방산자료 탈취를 위한 전면 공격을 시도한 것으로 판단된다"고 밝혔다.
경찰청 국가수사본부 안보수사국은 북한 해커 조직인 라자루스와 안다리엘, 김수키가 국내 방산기술을 탈취하기 위해 전방위적으로 공격한 것을 파악했다고 23일 밝혔다. 피해 업체는 총 10여 곳이다.
라자루스는 앞서 지난해 CBS노컷뉴스 보도로 알려진 법원행정처 전산망 해킹을 주도한 해커 조직이다.
경찰에 따르면 라자루스 등은 방산업체를 직접 침투하기도 했고, 상대적으로 보안이 취약한 방산 협력업체를 해킹해 방산업체의 서버 계정정보를 탈취했다. 이후 방산업체 주요 서버에 무단으로 침투해 악성코드를 유포했다.
구체적으로 라자루스는 2022년 11월부터 A방산업체 외부망 서버를 해킹해 악성코드를 뿌렸다. 이후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악한 것으로 나타났다. 개발팀 직원 컴퓨터 등 내부망의 중요자료를 수집해 국외 클라우드 서버로 자료를 빼돌렸다는 것이 경찰 설명이다.
안다리엘은 방산 협력업체 서버를 유지·보수하는 업체 직원이 사용하는 계정을 노렸다. 안다리엘은 2022년 10월부터 B방산 협력업체 등을 원격으로 유지·보수하는 업체의 계정정보를 탈취해 B방산 협력업체에 악성코드를 설치했고, 이를 통해 자료를 빼간 것으로 경찰은 보고 있다.
경찰은 해킹 흔적을 통해 어떤 자료가 탈취 대상이었는지 일부 파악되긴 했다면서도 "(해당 자료가) 방위 사업 기술 관련성이 있는지 여부는 방위사업청에서 판단해야 한다"고 설명했다.
북한 해커 조직들의 전방위적인 공격에도 피해 기업들은 해킹 사실을 몰랐다고 한다. 경찰 관계자는 "경찰이 가기 전까지 (기업들이 피해사실을) 몰랐다고 보면 된다"라며 "악성코드가 경찰이 찾아갈 때까지 살아 있었다"라고 설명했다.
경찰은 방위사업청 등 관계기관과 합동으로 특별점검을 실시해 피해 보호조치를 병행했다.
경찰 관계자는 "방산업체뿐만 아니라 협력업체도 내외부망 분리와 전자우편 비밀번호의 주기적인 변경과 2단계 인증 설정, 인가되지 않은 아이피(IP) 및 불필요한 해외 아이피(IP) 접속 차단 등의 보안 조치를 강화해 달라"라고 당부했다.