북한이 국내 대기업에서 사용하고 있는 PC 관리 시스템의 취약점을 악용해 주요 문서를 탈취하고 전산망 마비 공격을 준비해온 정황이 포착됐다.
경찰청 사이버안전국은 2014년 7월부터 대한항공 등 한진그룹 계열사 10곳과 SK네트웍스 등 SK그룹 계열사 17곳 등 총 13만대 PC가 북한의 해킹에 노출된 사실을 확인했다고 13일 발표했다.
사이버안전국은 2016년 초 북한의 4차 핵실험 직후 예상되는 사이버 테러를 차단하기 위해 사전 탐지 활동을 진행하던 중 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사를 시작했다.
사이버안전국은 수사 기간 33종의 악성코드를 확보해 분석했으며, 16대의 공격서버를 확인해 북한이 대기업 그룹사의 문서를 탈취한 후 삭제한 흔적 4만2608개를 복원했다. 탈취 문서는 방위산업 관련 정보 4만187건과 통신설비 관련 자료 2421건으로 확인됐다.
북한이 제작한 악성코드는 정찰·해킹 기능을 갖추고 있으며, 주로 중소기업과 대학연구소, 개인홈페이지 등 보안이 취약한 서버를 장악한 후 공격 서버로 활용했다.
이번 해킹에 사용된 PC 관리 시스템은 관리자 권한이 없어도 원격 접속해 임의로 파일을 배포하고, 원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었던 것으로 드러났다. 경찰은 해당 제품 제작사와 사용 고객 160여개 기관 및 업체에 관련 사실을 통보해 취약점을 보완토록 조치하고, 각 피해 그룹사와 유관기관 등과 공동 대응팀을 구성해 추가 피해를 막았다.
사이버안전국 관계자는 "북한은 일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 통제권을 탈취한 상태에서도 즉시 공격하지 않고, 은닉을 유지해 또 다른 사이버테러 공격 대상을 확보하려 한 것으로 보인다"며 "이후 일제히 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업·군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다"고 말했다.