경찰은 북한 해커조직 라자루스, 안다리엘, 킴스키 3개 조직이 우리 방산기술을 탈취하기 위해 우리 방산업체를 사방에서 공격하는 모습을 포착했다. 경찰은 다수의 해커 조직이 동원됐고, 방산업체와 하청업체 등을 겨냥한 공격 방식도 다양했다고 밝혔다.

경찰청 국가수사본부는 북한 해커조직 라자루스, 안다리엘, 킴스키가 10여 곳의 한국 방산업체를 공격해 방산기술을 탈취한 사실을 확인했다고 22일 밝혔다. 북한의 해커조직이 직접 방산업체에 침투하거나 상대적으로 보안이 취약한 해킹 협력업체/외주업체를 해킹하는 방식으로 방산업체의 메인서버에 무단으로 침투해 악성코드를 심고 있다. 이해되었습니다. 경찰은 IP 주소와 경유지 설정 방식, 악성코드 종류 등을 토대로 이번 공격이 북한 해커 조직의 소행으로 판단했다.

일부 업체들은 지난 1월 특별점검이 시작됐음에도 해킹으로 인한 피해를 인지조차 하지 못해 북한의 기술탈취가 상당 기간 지속됐을 가능성이 제기됐다. 북한 기술이 경찰에 압수된 시기는 2022년 10월과 11월, 2023년 4월~7월이다. 경찰은 자료가 어느 시점에서 압수됐는지 추측만 할 수 있을 뿐 공격 기간을 특정하기 어렵다는 점을 분명히 했다. . 그러나 경찰 관계자는 “수사가 시작될 때까지 악성코드가 살아 있었다”며 “우리가 발견한 것은 빙산의 일각에 불과할 수도 있다”고 말했다.

우리의 방산기술을 탈취하려는 북한의 공격은 방산업체뿐만 아니라 하청업체, 하청업체 등을 대상으로 다양한 수법을 사용해 왔다. 라자루스는 피해 기업의 외부 인터넷 서버를 해킹해 악성코드를 심은 뒤 해당 기업의 내부 네트워크에 침투하는 방법을 사용했다. 이런 방식으로 개발팀 직원을 포함한 컴퓨터 6대에서 중요 데이터가 해외 클라우드로 유출된 것으로 드러났다.

주로 군사기술을 탈취해 온 안다리엘은 방산협력업체의 서버를 유지관리하는 외주업체 직원들의 네이버, 카카오 등 일반 이메일 계정을 장악해 왔다. 해당 공격은 일부 직원이 일반 이메일 계정과 내부 기업 계정에 동일한 ID와 비밀번호를 사용하는 취약점을 악용했다. 북한의 가장 유명한 해커 조직인 킴스키(Kimsky)는 방산협력업체 내부 그룹웨어 이메일 서버의 취약점을 이용해 데이터를 탈취했다.

경찰 관계자는 서로 다른 역할을 맡은 것으로 알려졌던 북한 해커 조직들이 방산기술 탈취를 공동 목표로 삼아 총체적인 작전을 펼치는 정황은 처음 본다고 말했다. – 전쟁을 한꺼번에 끝내세요. “이것은 확인된 사건이다.” 지금까지 킴스키는 주로 정부 기관과 정치인을 표적으로 삼는 해커 조직으로 알려졌고, 라자루스는 금융 기관, 안다리엘은 주로 국방 기관을 표적으로 삼는 해커 조직으로 알려졌다. 경찰은 라자루스가 최근 사법부의 컴퓨터 네트워크에 침입한 것으로 확인된 사건도 주도했다고 밝혔다.

이지혜 기자 (문의 [email protected])