北, 2年前防産 해킹땐 外注業體 서버-e메일 迂廻浸透

東亞日報
入力 2024年 4月 24日 03時 00分

코멘트: 個

좋아요: 個

코멘트: 個

해킹組織 3곳, 中特定 IP住所使用
職員個人 e메일 알아내 서버 攻擊
1年間南防産業體 10餘곳 해킹

北韓의 해킹組織들은 相對的으로 保安이 脆弱한 外注業體의 서버나 協力業體職員의 個人 e메일 計定을 해킹하는 ‘迂廻戰略’으로 國內防産業體들의 情報를 빼낸 것으로 드러났다. 警察이 北韓 해킹에 保安이 뚫린 또 다른 國內防産業體 10餘 곳을 調査한 結果다.

23日警察廳國家搜査本部는 北韓偵察總局傘下 해킹組織 김수키와 안다리엘, 라자루스가 2022年 10月부터 지난해 9月까지 國內防産業體(83곳)를 大規模로 攻擊해 이 中 10餘 곳이 實際로 해킹된 것으로 把握됐다고 밝혔다. 이들이 保有한 방산 技術一部가 北韓으로 넘어간 것으로 推定되는 가운데, 具體的인 被害規模는 把握되지 않았다.

警察이 確認한 北韓의 攻擊方式은 △防産業體 서버를 管理하는 外注業體攻擊 △防産業體 서버 擔當者 PC 攻擊等으로 다양했다. 안다리엘은 2022年 10月頃防産業體 서버를 遠隔으로 管理·補修하는 協力業體職員의 個人 e메일 計定을 알아냈다. 이 計定이 社內 e메일과 연동된 탓에 안다리엘은 協力業體 서버를 통해 防産業體의 保安을 뚫을 수 있었다. 안다리엘은 該當防産業體의 資料를 北韓이 保有한 海外 클라우드 서버로 빼돌린 것으로 把握됐다.

다른 해킹組織 김수키는 防産業體職員이 e메일을 주고받을 때 大容量添附파일이 貯藏되는 서버 管理業體를 攻擊해 技術一部를 奪取했다. 該當 서버에 惡性코드를 심은 뒤 防産業體 서버에 이를 내려받는 方式이었다. 라자루스는 2022年 11月頃防産業體職員 PC에 惡性코드를 심은 뒤 防産業體 서버에 이를 퍼뜨렸다. 以後技術을 開發하는 部署職員 PC 6代에 浸透하는 데 成功했고, 開發技術關聯資料一部를 海外로 電送하기도 했다.

警察은 이番 해킹에 使用된 인터넷住所(IP住所)와 惡性코드 種類, 手法等을 바탕으로 北韓 해킹組織의 所行으로 判斷했다. 調査結果中國 선양 地域에서 特定 IP住所가 해킹에 動員된 內譯이 確認됐는데, 該當 IP住所는 2014年韓國水力原子力 해킹 攻擊 때 쓰였던 것과 같다는 것이다. 警察關係者는 “北韓의 해킹 技術은 날로 高度化되고 있다”며 “방산 技術을 노린 北韓의 해킹 試圖는 꾸준히 이어질 것”이라고 내다봤다.

해킹당한 業體大多數는 警察搜査가 始作되기 前까지 被害事實을 알지 못한 것으로 把握됐다. 防産業界全般의 保安管理가 허술한 게 아니냐는 指摘이 나오는 대목이다. 警察廳은 防産業體와 協力業體等에 內部網과 外部網을 分離하고 e메일 祕密番號를 週期的으로 바꾸는 等保安措置를 勸告했다.

이상환 記者 payback@donga.com
이수연 記者 lotus@donga.com
송유근 記者 big@donga.com

#北韓 #防産 해킹 #서버攻擊