北, SK·한진그룹에 사이버테러...방산자료 무더기 탈취

[이데일리 이승현 기자] 북한이 SK그룹과 한진그룹 등에 사이버 테러를 가해 전산망 통제권과 방위산업 관련 내부문서 등을 무더기로 훔친 것으로 경찰 수사결과 드러났다.

경찰청 사이버안전국은 북한이 지난 2014년 7월부터 M사의 기업 PC 관리시스템을 사용 중인 SK네트웍스(001740) 등 SK그룹 계열 17곳과 대한항공(003490) 등 한진그룹 계열 10곳의 전산망을 해킹, 전산망 마비공격 등을 준비해온 것을 확인했다고 13일 밝혔다.

북한은 이 과정에서 전산망 통제권과 함께 총 4만 2608건의 내부문서 등을 탈취한 것으로 조사됐다. 4만 2608건은 경찰이 공격서버에 대한 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 유출된 문서를 복구해 확인한 문서만 해당한다.

탈취된 문서는 방위산업 등 관련자료가 4만 187건, 통신설비 등 관련자료가 2421건이다. 이 중에는 중고도 무인정찰기 부품사진과 미국 F-15 정비 매뉴얼과 날계 설계도면, 군 네트워크 관련 자료 등이 대거 포함됐다. 다만 탈취된 내용은 국가 안보를 위협할 수 있는 핵심 기밀은 아니라고 경찰은 설명했다.

경찰은 지난 1월 북한의 4차 핵실험 직후 사이버 테러 가능성을 차단하기 위해 사전탐지 활동을 하다 북에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사에 나섰다. 수사를 통해 ‘유령 쥐’(Ghost Rat) 등 33종의 북한 악성코드를 확보하고 16대의 공격서버를 확인했다.

경찰에 따르면 이번 사이버 테러에는 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’의 공격 인터넷주소(IP)와 동일한 북한 평양 류경동 소재 IP가 사용됐다. 북한은 원격제어·정찰·해킹 기능 등이 있는 다양한 악성코드를 제작해 주로 중소기업와 대학연구소, 개인홈페이지 등 보안취약 서버를 장악해 공격용 서버로 활용했다고 경찰은 밝혔다. 그러나 실제 대규모 사이버 공격으로 이어지지는 않았다.

문제가 된 M사의 관리시스템은 관리자 권한이 없어도 원격접속해 임의로 파일배포와 원격제어 등을 할 수 있는 취약점이 있지만 해당 업체는 이를 인지하지 못한 것으로 조사됐다. 경찰은 이 시스템을 만든 M사와 이를 사용하던 160여개 기관과 업체 등에 취약점을 즉시 통보해 보완토록 조치했다.

북한의 이번 공격은 사이버테러의 대상이 그간 공공기관과 금융권, 방송사 등에서 대기업으로도 확장됐다는 점에서 주목된다. 경찰 관계자는 “앞으로도 주요 공공기관과 기업에 대한 북의 사이버 공격을 조기 탐지하고 사전차단하는 활동에 주력하겠다”고 말했다.

한국 대기업들에 대한 북한의 전산망 사이버테러 공격 개요도. 경찰청 제공