방산업체도, 법원도 北 해커에 뚫려…'사이버 안보' 비상

[이데일리 손의연 기자] 최근 북한의 해커 조직이 국내 방산업체와 법원을 공격해 민감한 자료가 유출되면서 ‘사이버 안보’에 대한 우려가 커지고 있다. 북한이 공격 대상을 광범위하게 넓히며 기관의 취약점을 공략하면서 국내 기관이 속수무책으로 당하고 있는 상황이다. 전문가들은 각 기관이 보안 조치를 재정비하고 정부가 컨트롤타워를 구축하는 등 대응이 필요하다고 강조했다.

법원 내부 전산망에서 2년간 1천 기가바이트(GB)가 넘는 규모의 자료가 유출됐다는 합동 수사 결과로 대법원의 허술한 보안 시스템이 여실히 드러났다. 사상 초유의 사법부 전산망 해킹으로 국민의 내밀한 소송서류가 유출됐지만 대법원의 부실한 대응으로 유출 자료의 0.5%밖에 피해 내역을 확인하지 못하게 된 상황에 일조했다는 비판이 제기된다. (사진=연합뉴스)

17일 경찰에 따르면 지난 2021년 1월 7일 이전부터 2023년 2월 9일까지 북한 해커 조직 ‘라자루스’가 국내 법원 전산망을 해킹해 1014GB의 자료를 법원 전산망 외부로 전송했다. 확인된 유출 자료는 전체의 0.5% 수준인 5171개다. 나머지 99.5%는 어떤 자료인지 파악되지 않았다.

현재까지 확인된 바로는 개인정보가 포함된 자필진술서, 채무증대·지급불능 경위서, 혼인관계증명서, 진단서 등 개인회생 자료 다수가 외부로 유출됐다. 경찰은 유출된 파일 5171개에 대한 정보를 지난 8일 법원에 제공했다.

법원은 작년 2월 해킹 시도가 있었음을 처음 인지했지만 9개월간 수사기관에 알리지 않았다. 우선 경찰은 해킹 조직이 적어도 2021년 1월7일 이전부터 법원 전산망에 침입해 있던 것으로 보고 있지만 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인을 밝히지 못했다. 유출된 정보의 양이 상당해 보이스피싱 등 범죄에 악용될 여지가 커 개인의 2차 피해도 우려되는 상황이다.

법원 전산망 해킹을 벌인 라자루스는 앞서 국내 방산업체 사이버 공격에도 가담했다. 경찰은 지난달 23일 브리핑을 열고 ‘라자루스·안다리엘·김수키’ 등 북한 해킹 조직이 국내 방산업체 10여 곳에 침투해 정보를 빼내간 것으로 확인됐다고 밝혔다.

특히 주목할 점은 북한이 중소 협력업체와 유지보수 업체 등 상대적으로 보안이 취약한 곳을 파고들어 기술탈취를 시도했다는 것이다.

해킹당한 업체들은 경찰이 찾아갈 때까지도 피해 사실을 모르고 있었다. 류연승 명지대 방산안보학과 교수는 “중소기업이 많은 협력업체들 경우 보안 제도가 미비해 정부 지원이 필요하다. 정부가 방산협력업체들을 가입시키는 보안관제 등을 준비하고 있는데 빨리 시행해야 한다”며 “관제 시스템을 구축해 네트워크를 통해 들어오는 걸 모니터링한다거나 이메일 파일 다운로드에 대한 스캐닝을 하는 솔루션이 최소한 있어야 한다”고 말했다.

이같은 북한의 조직적인 해킹 시도는 계속되고 있다. 국가사이버안보센터는 2023년 국내 해킹피해의 85% 이상이 국가배후 해킹조직에 의한 것으로 파악했다. 주로 해킹 메일과 IT솔루션 취약점 등을 악용한 수법이었다.

경찰 관계자는 “방산업체뿐만 아니라 협력업체에 대해서도 내외부망 분리, 전자우편 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 아이피(IP) 및 불필요한 해외 아이피(IP) 접속 차단 등의 보안 조치를 강화해 달라”며 “개인은 2차 피해 예방 차원에서 비밀번호부터 계좌번호까지 한 번씩 변경하시길 당부드린다”고 말했다.

전문가들은 북한 해커 조직이 정보 탈취뿐만 아니라 사회혼란 목적을 가지고 있다고도 지적했다. 때문에 개인, 기관의 노력뿐만 아니라 정부의 정책이 먼저 뒷받침해야 한다고도 제언했다. 이용준 극동대 해킹보안학과 교수는 “북한 해킹 조직에 의한 공격은 방산, 대법원 뿐 아니라 국가기반시설, 민간분야을 구분하지 않으며 해킹 기법이 보다 고도화되고 있다”며 “이에 반해 방산기업, 대법원 법제도, 정책 등은 별도 보안체계를 구축해야 하는 상황에서도 민관군 사이 정보를 공유하는 데 한계를 보이고 있다”고 말했다. 이어 “법제도 경계를 허무는 컨트롤타워 구축과 동시에 정보공유 활성화가 필요하다”고 강조했다.