北, SK·한진그룹 전산망 해킹…전투기설계도 등 4만건 유출(종합)

[이데일리 이승현 기자] 북한이 SK그룹과 한진그룹 계열사 전산망을 뚫고 내부문서 등 자료를 무더기로 빼낸 것으로 드러났다. 이 중에는 미국의 F-15 전투기, 중고도 무인정찰기 관련 문서와 우리 군 내부 전산망 자료 등도 다수 포함된 것으로 알려졌다.

경찰청 사이버안전국은 올해 1월 북한이 4차 핵실험 직후 대한항공 등 한진그룹 계열사 10곳, SK네트웍스 등 SK그룹 계열사 17곳의 전산망을 해킹해 전산망 마비 공격을 준비해 온 것을 확인하고 피해 복구·재발 방지 작업을 마쳤다고 13일 밝혔다. 경찰은 4차 핵실험 직후인 지난 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사에 착수했다.

北 SK·한진 등 160개사 사내망 해킹

경찰 조사결과 SK·한진그룹 계열사 등 국내 총 160여 개 업체의 사내 전산망이 해킹당한 것으로 확인됐다. 북한은 이 과정에서 전산망 통제권과 함께 4만 2608건의 내부문서를 탈취한 것으로 나타났다. 이는 경찰이 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 유출된 문서를 복구해 확인된 규모다.

특히 북한이 탈취한 문서 중에는 중고도 무인정찰기 부품 사진과 F-15 전투기 정비 매뉴얼 및 날개 설계도면, 군 네트워크 관련 자료 등이 대거 포함됐다. 경찰은 다만 국가 안보를 위협할 수준의 핵심기밀은 아니라고 설명했다. 또 북한은 전산망 침투 이후 10만대가 넘는 PC를 언제든 좀비로 만들어 사이버 공격에 활용할 준비가 돼 있는 상태였다고 밝혔다.

북한의 해킹 피해를 입은 기업은 국내 PC통합관리업체 M사의 시스템을 이용하는 업체로, 북한은 M사 PC관리시스템을 이용해 각사 PC에 악성프로그램 ‘유령 쥐’(Ghost RAT·remote access trojan) 등 33종의 악성코드를 전파했다. M사의 PC 관리시스템은 관리자 권한이 없어도 원격 접속해 임의로 파일을 배포하고 원격제어 등을 할 수 있는 취약점이 발견됐지만, 해당 업체는 이런 사실을 사전에 인지하지 못한 상태였다.

경찰은 M사의 PC 관리시스템을 사용하는 160여 개 기관과 업체, 피해 그룹에 즉시 통보해 지난 3월 취약점 보완 및 추가 테러 가능성을 차단했다고 밝혔다.

사이버 공격시 3·20 테러 2배 피해 추정

북한의 이번 사이버테러에는 지난 2013년 3월 방송·금융 전산망을 공격한 ‘3·20 테러’ 당시 인터넷 프로토콜(IP)과 같은 평양 류경동 소재 IP가 사용된 것으로 파악됐다. 경찰은 북한이 원격제어·정찰·해킹 기능 등이 있는 다양한 악성코드를 제작해 주로 중소기업과 대학연구소, 개인홈페이지 등 보안이 취약한 서버를 장악해 공격용 서버로 활용했다고 설명했다.

다행히 대규모 사이버 공격으로 이어지지는 않았지만, 북한이 실제 공격을 감행했다면 그 피해 규모는 ‘3·20 테러’의 2배 이상이 됐을 것으로 경찰은 추정했다. ‘3·20 테러’때 북한은 서버 464대와 PC 등 4만 8284대를 파괴해 열흘 간 업무를 마비시켰다. 당시 피해액은 8823억원 규모로 집계됐다.

경찰 관계자는 “북한의 사이버공격 대상이 공공기관과 금융권, 방송사 등에서 주요 대기업까지 확대된 사실에 주목하고 앞으로도 주요 공공기관과 기업을 겨냥한 북한 사이버공격을 조기 탐지하고 사전차단하는 활동에 주력할 방침”이라고 말했다.