北, 한진·SK 그룹 계열사 해킹으로 방산 관련 문서 4만여건 탈취

입력 2016.06.13 17:09

북한이 국내 대기업에서 사용하고 있는 PC 관리 시스템의 취약점을 악용해 주요 문서를 탈취하고 전산망 마비 공격을 준비해온 정황이 포착됐다.

경찰청 사이버안전국은 2014년 7월부터 대한항공 등 한진그룹 계열사 10곳과 SK네트웍스 등 SK그룹 계열사 17곳 등 총 13만대 PC가 북한의 해킹에 노출된 사실을 확인했다고 13일 발표했다.

사이버안전국은 2016년 초 북한의 4차 핵실험 직후 예상되는 사이버 테러를 차단하기 위해 사전 탐지 활동을 진행하던 중 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사를 시작했다.

사이버안전국은 수사 기간 33종의 악성코드를 확보해 분석했으며, 16대의 공격서버를 확인해 북한이 대기업 그룹사의 문서를 탈취한 후 삭제한 흔적 4만2608개를 복원했다. 탈취 문서는 방위산업 관련 정보 4만187건과 통신설비 관련 자료 2421건으로 확인됐다.

북한의 대기업 그룹 전산망 사이버테러 공격 개요도 / 경찰청 사이버안전국 제공
사이버안전국은 이 과정에서 2013년 3월 20일 발생한 방송·금융 전산망 사이버테러의 공격 IP와 동일한 북한 평양 류경동 소재 IP에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 행위가 이뤄진 사실을 확인했다.

북한이 제작한 악성코드는 정찰·해킹 기능을 갖추고 있으며, 주로 중소기업과 대학연구소, 개인홈페이지 등 보안이 취약한 서버를 장악한 후 공격 서버로 활용했다.

이번 해킹에 사용된 PC 관리 시스템은 관리자 권한이 없어도 원격 접속해 임의로 파일을 배포하고, 원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었던 것으로 드러났다. 경찰은 해당 제품 제작사와 사용 고객 160여개 기관 및 업체에 관련 사실을 통보해 취약점을 보완토록 조치하고, 각 피해 그룹사와 유관기관 등과 공동 대응팀을 구성해 추가 피해를 막았다.

사이버안전국 관계자는 "북한은 일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 통제권을 탈취한 상태에서도 즉시 공격하지 않고, 은닉을 유지해 또 다른 사이버테러 공격 대상을 확보하려 한 것으로 보인다"며 "이후 일제히 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업·군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다"고 말했다.