국가정보원과 독일 헌법보호청(BfV)이 북한의 방산 분야 사이버공격 피해를 예방하기 위해 합동 사이버보안 권고문을 발표했다.
권고문엔 북한의 방산 해킹 대표적인 사례 두 가지를 선정해 공격 전략·기술·절차(TTPs) 등을 분석, 공격 주체와 실제 공격 수법을 담았다.
이번 한독 권고문은 지난해 3월 '킴수키 해킹조직의 구글서비스 악용공격' 발표에 이은 두 번째다. 북한이 전세계를 상대로 방산 첨단기술을 탈취, 무기개발에 악용하는 상황에서 북한에 경고한다는 의미가 있다는 게 국정원 측의 설명이다.
먼저 북한 해킹조직은 지난해 해양·조선 기술을 연구하는 기관에 침투했다. 방산기관을 직접 침투하기에 앞서 보안이 취약한 유지보수 업체를 해킹하고 서버 계정정보를 탈취했다. 이후 기관 서버 등에 무단 침투해 전직원을 대상으로 악성코드 유포를 시도했으나, 발각되자 직원들에게 스피어피싱 이메일을 발송하는 등 다양한 추가 공격을 시도했다.
국정원은 “북 해킹조직은 코로나19 여파로 원격 유지보수가 허용된 상황을 틈타 유지보수업체를 이용해 내부서버 침투를 많이 시도했다”며 “국가·공공기관이 협력업체의 원격 유지 보수가 필요한 경우, 국가정보보안지침 제26조을 참고해 주기 바란다”고 강조했다.
또 북한 해킹조직 라자루스는 방산업체에 침투하기 위해 2020년 중반부터 사회공학적 공격수법을 사용한 것으로 파악된다. 이들은 링크드인 등에 채용 담당자로 위장 가입해 방산업체 직원에게 접근, 관심을 가질만한 사소한 이야기를 나누며 친밀감을 쌓았다. 이후 북한 해커는 이직 상담을 핑계로 왓츠앱·텔레그램 등 다른 사회관계망서비스(SNS)로 유인하고, 일자리 제안 PDF 발송 등을 통해 악성코드 설치를 유도했다.
양 기관은 북한이 군사력 강화를 정권 우선순위에 두고 전세계를 대상으로 방산 첨단기술 절취에 주력하면서, 절취 기술을 정찰위성·잠수함 등 전략무기를 개발하는 데 활용하고 있다고 판단했다. 또 북한의 사이버상 해킹행위는 무기 기술을 획득하기 위한 저비용의 효율적인 수단으로, 앞으로도 절대 포기하지 않을 것이라면서 방산 분야 보안을 더욱 강화할 필요가 있다고 강조했다.
국정원 관계자는 “독일 헌보청과 보안권고문을 발표한 것은 양국이 북한의 전세계 대상 방산기술 절취를 좌시하지 않겠다는 의지를 보여준 것”이라면서 “북한의 방산분야를 비롯한 다양한 사이버위협에 대응해 안전한 사이버 공간을 만드는 데 힘을 합치겠다”고 밝혔다.
조재학 기자 2jh@etnews.com
