국가정보원이 지난해 하반기부터 최근까지 북한이 국내 반도체 장비업체를 대상으로 사이버 공격에 집중하고 있는 사실을 포착했다면서 주의를 당부했다.
북한 해킹조직은 서버가 인터넷에 연결돼 취약점이 노출된 업체를 공략했다. 문서 등 자료관리에 사용되는 해당 업체의 업무용 서버를 표적으로 삼았다.
이들은 악성코드 사용을 최소화하고 서버 내 설치된 정상 프로그램을 활용해 공격하는 'LotL(Living off the Land)' 기법을 주로 구사했다. 이 같은 방식은 공격자가 눈에 잘 띄지 않아 보안 도구로도 탐지가 쉽지 않다.
실제 지난해 12월 A사와 올해 2월 B사는 각각 형상관리서버와 보안정책서버를 해킹 당해, 제품 설계도면과 설비 현장사진 등이 탈취됐다.
국정원은 북한이 대북제재로 인한 반도체 조달 어려움과 위성·미사일 등 무기 개발에 따른 수요 증가로 반도체 자체 생산 준비에 나섰을 가능성이 있다고 보고 있다.
국정원은 해킹 피해업체에 관련 사실을 통보하고 보안대책 수립을 지원했다. 또 추가 피해 방지를 위해 국내 주요 반도체 업체에도 위협정보를 제공해 자체 보안점검을 하도록 조치했다.
국정원 관계자는 “인터넷 노출 서버 대상 보안 업데이트와 접근 제어를 실시하고, 정기적인 관리자 인증강화 등 계정관리를 철저히 해야 한다”고 당부했다.
조재학 기자 2jh@etnews.com
