북한 해커조직, 방산업체 10곳 기술 탈취했는데 “1년 넘게 몰랐다”
라자루스 등 3개 조직 역할 분담해 기술 탈취
해킹 사실 전혀 몰라, 1년 지속 탈취 가능성 무게
UN 제재 이후 돈줄 막히자 해킹으로 핵자금 마련
라자루스 등 북한 3대 해킹 조직이 무기 기술을 빼내기 위해 국내 방산업체를 무더기로 해킹한 것으로 확인됐다. 정보를 해킹당한 국내 방산업체 10여 곳은 경찰이 통보하기 전까지 이 같은 사실을 까맣게 모르고 있었던 것으로 알려졌다. 안보를 둘러싼 총성 없는 사이버 전쟁에서 방산업체들이 보안상의 취약점을 여실히 드러냈다는 지적이 나온다.
‘라자루스·김수키’ 등 북한 해킹조직, 국내 방산업체 10여 곳 해킹
경찰청 국가수사본부는 라자루스·안다리엘·김수키 등 북한 해커조직이 국내 방산업체 10여 곳을 공격해 방산기술을 탈취한 사실을 확인했다고 23일 밝혔다. 북한 해커조직은 방산업체에 직접 침투하거나 상대적으로 보안이 취약한 협력·외주업체를 해킹하는 방식으로 방산업체 주요 서버에 무단 침투해 악성코드를 심은 것으로 파악됐다. 경찰은 △아이피(IP) 주소 △경유지 구축 방법 △악성코드 종류 등을 근거로 이번 공격이 북한 해커조직의 소행이라고 판단했다.
일부 업체는 특별점검이 시작된 지난 1월까지도 해킹 피해 사실조차 모르고 있던 터라, 북한의 기술탈취가 상당 기간 지속됐을 가능성도 제기된다. 경찰이 포착한 북한의 기술탈취 시점은 2022년 10월·11월·2023년 4∼7월 등이다. 경찰은 어느 시점에 자료가 탈취됐는지를 추측할 뿐, 공격 기간을 특정하기 어렵다고 밝혔다. 다만 경찰 관계자는 “수사 시작 때까지도 악성코드가 살아있었다”며 “저희가 빙산의 일각만 파악했을 수 있다”고 말했다.
국내 방산기술을 훔치기 위한 북한의 공격은 방산업체뿐 아니라 협력·외주업체까지 표적으로 삼는 등 방식도 다양했다. 라자루스는 피해업체의 외부 인터넷망 서버를 해킹해 악성코드를 심은 뒤 회사 내부망에 진입하는 방식을 사용했다. 이런 식으로 개발팀 직원 컴퓨터 등 6대에서 중요 자료를 국외 클라우드로 빼돌린 것으로 조사됐다.
군사기술을 주로 탈취해 온 안다리엘은 방산 협력업체의 서버를 유지보수하는 외주업체 직원의 네이버·카카오 등 일반 전자우편 계정을 탈취해 접근했다. 일부 직원들이 일반 전자우편 계정과 사내 업무 계정에서 동일한 아이디와 비밀번호를 사용한다는 허점을 악용한 것이다.
경찰 관계자는 “기존에 역할 분담이 된 것으로 알려졌던 북한 해커조직들이 방산기술 탈취라는 공동의 목표를 설정해 일사불란하게 총력전을 펼치고 있다는 정황을 처음 확인하게 된 사건”이라고 밝혔다. 그동안 김수키는 정부기관과 정치인, 라자루스는 금융기관, 안다리엘은 국방기관을 주로 노리는 해커조직으로 알려져 있었다. 라자루스는 최근 확인된 사법부 전산망 침입도 주도했다고 경찰은 밝혔다.
암호화폐까지 탈취하는 북한 해커 조직
북한은 한국, 미국뿐만 아니라 최소 29개국을 상대로 지속적인 사이버 공격을 벌이고 있다. 스피어피싱부터 가상자산 탈취까지 해킹 방법도 다양하다. 사이버 보안 업체 이스트시큐리티에 따르면 북한은 미국 블록체인 기업 하모니(Harmony)가 운영하는 호라이즌 브릿지(Horizon Bridge) 서비스에서 1억 달러(약 1,342억원) 상당의 암호화폐를, 쿠코인에서 2억8,000만 달러(약 3,759억원) 상당의 암호화폐를, 업비트에서는 4,850만 달러(약 651억원) 상당의 암호화폐를 가로채는 등 직접 암호화폐를 탈취하는가 하면 마우이(Maui)·홀리고스트(H0lyGh0st)와 같은 랜섬웨어를 직접 제작해 유포하는 등 전방위적 사이버 공격을 펼치고 있다.
또한 피싱 메일을 통한 악성코드 유포 및 SW 취약점을 이용한 해킹을 통해 기밀정보를 탈취하기도 한다. 이들은 미국 국무부와 국방부, 에너지 업체 등을 대상으로도 피싱 활동을 벌인 것으로 드러났다.
고숙련된 북한 개발자들이 한국, 미국 등 전 세계 IT 기업에 위장 취업해 자금을 탈취하는 사례도 지속적으로 보고되고 있다. 지난달 미국 법무부와 FBI에 따르면 북한 IT 개발자 수천 명이 위조 신분을 활용해 미국을 비롯한 외국 기업에서 원격 근무를 하는 프리랜서 직원으로 일한 것으로 나타났다.
제이 그린버그 FBI 특수요원은 “북한 개발자들이 미국인들에게 집 와이파이 접속료를 지불하는 등 미국에서 일하는 것처럼 보이기 위해 다양한 기법을 사용했다”고 설명했다. 가상사설망(VPN), 가상사설서버(VPS), 3국 IP 주소와 프록시 계정, 위조·도난 신분증 사용 등으로 자신을 외국인이나 미국 기반 원격 근무자로 속인다는 것이다.
IT 전문가들은 “북한 해커들은 국제적으로 가상자산 및 다른 금융거래 수단을 겨냥한 공격에 계속 성공하고 있지만 각국이 이를 차단하기가 쉽지 않다”며 “최근에는 외국의 가상화폐를 비롯해 국방, 에너지, 보건 분야 회사들 등으로 표적을 늘리고 있다”고 분석했다.
해킹으로 탈취한 자산, 대량 살상무기 개발 자금으로
문제는 북한이 이같은 사이버 공격을 통해 핵과 미사일 개발에 필요한 자금을 마련하고 있다는 점이다. 실제로 이들이 갈취한 돈의 일부는 북한의 스파이 활동 지원금으로 사용되거나 ICBM(대륙간탄도미사일), 수중 핵어뢰 등 국가의 안보를 위협하는 무기 제작에 쓰인 것으로 파악됐다.
해킹으로 탈취한 자산이 대량 살상무기로 탈바꿈한 것이다. 북한이 지난해에만 40차례 이상의 탄도미사일을 발사하고 핵탄두 수를 늘릴 수 있었던 것도 이런 사이버 공격이 있었기에 가능했다. 스웨덴의 스톡홀름국제평화연구소(SIPRI)의 ‘2023년 연감’에 따르면 북한의 핵탄두 수는 30기로, 1년 전보다 5기 증가한 것으로 추정된다.
북한이 이같은 전방위적 해킹에 나서는 것은 2017년 UN 제재 이후 자금줄이 막혔기 때문이다. 국제 제재에 따라 정상적인 방법으로는 군사 도발 혹은 기술 개발을 위한 정보 및 자금을 조달하기가 불가능해지자 일찌감치 해킹과 같은 사이버 공격에 공을 들인 것이다.
그렇다면 북한이 가상자산을 절취하는 규모는 얼마나 될까. 미 재무부는 지난해 8월 UN 안전보장이사회(안보리) 대북제재위원회 전문가 패널은 안보리에 제출한 보고서를 인용해 “북한 해커들은 2022년 사이버 절도를 통해 17억 달러(약 2조2,000억원)의 가상자산을 조달하는 것으로 추정된다”고 발표했다. 이는 기존의 기록을 넘어선 최대 규모다. 지난해는 10억 달러, 2021년은 4억2,900만 달러로 3년간 총 31억2,900만 달러(약 4조1,700억원)를 탈취한 것으로 파악됐다.