단독北, 차세대 공군 훈련체계 겨냥한 해킹 공격

악성 파일 실행 시 나타나는 화면. 이스트시큐리티 제공
악성 파일 실행 시 나타나는 화면. 이스트시큐리티 제공

우리나라 방위산업 분야를 겨냥한 해킹 공격이 꾸준히 포착되는 가운데 북한 측으로 추정되는 해킹조직이 우리 차세대 공군 훈련체계를 겨냥한 해킹 공격을 펼치고 있는 것으로 확인됐다. 공격이 현재 진행 중인 상태로 사업에 참여하는 방산 관계자의 각별한 주의가 요구된다.

보안업체 이스트시큐리티는 지난 1일 공군 워게임 모델 사업 내용으로 위장한 악성 파일을 발견하고 관계자 주의를 당부했다. 이 업체 분석 결과 악성 파일은 한국시간 기준 지난달 31일 제작됐으며 현재까지도 방산 분야 관계자를 대상으로 유포되는 중으로 추정된다.

악성 파일은 국방부가 주관하는 공군 워게임 모델 사업 '창공모델 성능개량 체계개발 사업' 협력업체 자료인 것처럼 위장했다. 이 사업은 국방부에서 수년간 추진해 온 사업으로 최근에는 지난달 한국항공우주산업(KAI)이 관련 기술을 보유한 8개 업체와 업무협약을 맺고 참여한다는 소식으로 알려졌다.

이번 악성 파일에 감염될 경우 사용자 컴퓨터 정보 유출은 물론, 공격자가 원하는 대로 컴퓨터를 원격 제어 당하는 등 피해를 입을 수 있다.

이스트시큐리티는 공격자가 사용한 명령제어(C2) 서버가 해킹조직 '탈륨'이 사용하는 도메인 서비스와 유사성이 높다는 사실을 발견하고 북한 정부를 공격 배후로 지목했다. 탈륨은 북한 정부와 연계된 것으로 알려진 조직으로 '김수키'라고도 불린다.

탈륨은 지난해 코로나19 백신 개발 제약사, 한국과학기술원(KAIST), 암호화폐 거래소 등을 공격한 바 있다. 이외에도 개성공단 연구, 청와대 행사 견적서 등을 사칭해 국내 통일·외교·국방 관계자를 대상으로 지속 공격을 시도해 왔다.

이스트시큐리티는 이번 공격을 탈륨이 지속해 온 '블루 에스티메이트' 지능형지속위협(APT) 캠페인 일환으로 결론 내렸다. 이스트시큐리티 시큐리티대응센터(ESRC)는 악성코드 내부 암호화 알고리즘이 기존 탈륨 조직 '블루 에스티메이트'와 정확히 일치하는 것으로 분석했다.

문종현 이스트시큐리티 이사는 “최근 알려진 방산 사업을 악용해 관련 문서를 꾸미고 공격을 시도하고 있다”면서 “방산업체 관계자를 대상으로 공격이 유입되는 것으로 추정되는 만큼 현재 파일을 받지 않았더라도 향후 피해가 없도록 주의해야 한다”고 말했다. 문 이사는 “현재 변종이 지속 포착되고 있어 유관기관과 긴급 공조 중”이라고 덧붙였다.

한편 공군 워게임 모델 사업은 차세대 훈련체계 기술인 '합성전장훈련체계(LVC)' 일환으로 추진됐다. LVC는 가상현실(VR)과 증강현실(AR) 등 4차 산업 기술을 접목해 훈련 몰입감을 높이는 기술이다. 훈련 효과가 높은 데다 저비용으로 대규모 연합 훈련이 가능하다는 이점에 따라 방산업계에서 최근 주목받고 있다.

오다인기자 ohdain@etnews.com