라자루스 등 3곳이 조직적 공격
방산업체 83곳 중 10여곳 털려
악성코드 여전히 남아 있는 곳도
“해외 IP 차단·비밀번호 변경 필수”

북한의 대표적 해킹 조직 3곳(라자루스·안다리엘·김수키)이 최근 무기·탄약·군사 장비 등 방산기술 탈취를 목표로 국내 방산업체 10여곳을 조직적으로 공격한 사실이 뒤늦게 확인됐다.

국내 방산업체가 83곳이라는 점을 감안하면 10분의1이 넘는 업체가 해킹 공격을 당한 것이다. 특히 피해업체 대부분은 경찰 수사 전까지 해킹당한 사실조차 알지 못했던 것으로 드러나 방산업계의 보안 관리가 허술하다는 지적이 나온다.

경찰청 국가수사본부 안보수사국은 2022년 10월부터 지난해 7월까지 방산업체 10여곳이 북한 해킹 조직에 기술 자료를 탈취당했다고 23일 밝혔다. 국수본 관계자는 “새롭게 변형된 악성 코드를 사용하면 기존의 백신 프로그램이 탐지하지 못해 (업체가) 해킹 사실을 모르는 경우가 있다”고 말했다. 일부 업체에는 악성 코드가 여전히 남아 있는 것으로 확인됐다. 최근까지도 기술 탈취 등 피해가 발생했을 가능성이 있다는 얘기다.

감염된 PC에서는 과거 북한 해킹 조직이 사용한 악성 코드가 발견됐고 2014년 한국수력원자력 해킹 공격 때 쓰인 IP 주소도 확인됐다. 국수본은 국가 보안 사항이라는 이유로 북한이 탈취한 구체적인 방산기술 유형이나 국가전략기술 유출 여부는 밝히지 않았다.

그동안 북한 해킹 조직은 ▲김수키-정부 기관이나 정치인 ▲라자루스-금융기관 ▲안다리엘-방산업체나 군 등으로 역할을 나눠 공격을 펼쳤다. 하지만 이번엔 해킹 조직이 ‘방산기술 탈취’에 대거 동원된 것이다. 국수본 관계자는 “여러 조직이 총력전 형태로 공격한 정황이 드러난 것은 처음”이라며 “김정은 북한 국무위원장의 구체적인 지시가 있었을 것”이라고 추정했다.

북한 해킹 조직은 주로 방산업체를 직접 침투했지만 상대적으로 보안이 취약한 방산 협력업체나 서버 유지·보수업체 등을 먼저 해킹하기도 했다. 안다리엘은 2022년 10월쯤 여러 방산 협력업체의 서버를 원격으로 유지·보수하는 업체부터 공격했다. 이 회사 직원의 업무용 계정을 탈취한 뒤 원격으로 여러 방산 협력업체에 악성 코드를 퍼뜨려 자료를 빼냈다. 김수키는 지난해 4~7월 방산 협력업체에서 사용하는 그룹웨어 전자우편 서버를 해킹해 기술 자료를 빼낸 것으로 조사됐다.

국수본 관계자는 “통신 로그 보관 주기가 짧고 탈취 흔적이 삭제돼 전체적인 범행 기간은 특정하기 힘들다”고 말했다. 경찰은 방산업체뿐 아니라 방산 협력업체의 내외부망을 분리하고 직원 이메일 계정 등 비밀번호의 주기적인 변경과 해외 IP 차단 등을 권고했다.