경찰,  북한의 대규모 사이버 공격 준비 확인…대기업 문서 4만여건 해킹

경찰청 사이버수사과는 북한이 국내 대기업 전산망의 취약점을 뚫고 들어가 10만대가 넘는 PC의 통제권을 탈취, 사상 최대 규모의 사이버 공격을 준비했었다고 밝혔다. 경찰은 “올 1월 북한의 4차 핵실험 직후 사이버테러 관련 첩보 활동을 전개하는 과정에서 이같은 사실을 확인했다”고 13일 밝혔다. 경찰은 4차 핵실험 직후인 올 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수, 수사를 진행한 결과 국내 대기업과 공공기관, 정부 부처 등 160여곳에서 사용하는 PC 통합관리망이 뚫린 사실을 확인했다.

해당 관리망은 한 민간업체가 제작한 시스템으로, 이를 설치하면 관리자가 원격으로 다수 PC를 관리하면서 소프트웨어를 일괄적으로 업데이트하거나 불필요한 소프트웨어를 삭제할 수 있어 많은 PC를 운용하는 기업·기관 등이 사용한다. 북한은 이 관리망의 보안상 취약점을 찾아내 시스템에 침투, 전산망 통제권을 탈취한 것으로 드러났다. SK네트웍스서비스를 비롯한 SK그룹 계열사, 대한항공 등 한진그룹 계열사, KT, 주요 정부 부처 등이 해당 관리망을 쓰고 있었다. 경찰은 북한이 언제든 관리망을 통해 기업·기관 전산망에 침투, 하부 PC에 악성코드를 유포해 좀비 PC를 만든 뒤 대규모 공격에 이용할 준비가 된 상태였다고 보고 있다. 북한이 통제 가능했던 PC는 13만대 선으로 경찰은 추산했다.

실제 대규모 공격은 이뤄지지 않았다. SK네트웍스서비스 등 피해 업체에서 자체 대응팀을 가동하고 경찰 수사에 적극 협조, 관리망의 결함을 신속히 밝혀낸 덕분에 보안 패치작업이 빠르게 이뤄져 추가 피해를 막았다고 경찰은 전했다. 북한이 이번 해킹 이후 실제 사이버 공격을 감행했다면 규모는 그간 역대 최대였던 2013년 3.20 사이버테러의 2.5배였을 것으로 경찰은 추정했다.

3.20 테러 당시 방송사와 금융기관 전산망이 동시다발로 악성코드 공격을 받아 PC와 서버, 현금자동입출금기(ATM) 등 4만8천284대가 파괴되고 10일간 업무마비 사태를 낳았다. 피해액은 약 9천억원으로 추산됐다. 이번 해킹이 시작된 인터넷 프로토콜(IP) 소재지는 평양 류경동으로 확인됐다. 3.20 사이버테러 당시 확인된 IP와 동일하다고 경찰은 전했다. 북한은 해킹 과정에서 SK네트웍스서비스와 대한항공 등 국내 기업 PC에 저장된 국방 관련 자료도 대량 탈취한 것으로 확인됐다.

북한이 유출한 문서는 지금까지 확인된 것만 4만2천608건이다. 여기에는 군 통신망 관련 자료와 미국 F-15 전투기 날개 설계도면, 중고도 무인정찰기 부품 사진, 각종 연구개발(R&D) 문건 등 방위산업 관련 자료가 다수 포함됐다. 경찰은 탈취된 문서 가운데 전투기 엔진이나 제어기술, 군사기밀을 취급하는 전산망 등 보안상 위험한 내용은 없는 것으로 파악했다고 밝혔다. 경찰은 유출 문서 관련 정보를 피해 기업과 관계 당국에 통보하고 재발방지 조치를 요청했다. 경찰은 "북한이 국가적 규모의 사이버테러를 시도하고자 장기간 사전 준비작업을 하는 것으로 보인다"며 "일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버와 PC 통제권을 탈취하고서도 이를 감춰둔 채 또다른 공격 대상을 확보하고자 지속적으로 해킹을 시도한 사실이 확인됐다"고 말했다.

기무사령부, “북한해킹한 자료 기밀수준은 아니다”

한편, 국군기무사령부의 한 관계자는 다행히 "북한이 해킹한 국방 관련 자료는 기밀에 해당하지 않은 것"이라며 "대부분 공개되어 있거나 누구나 볼 수 있는 수준의 자료"라고 밝혔다. 예를 들어 북한이 빼간 미군 F-15 전투기 날개 설계도의 경우 길이와 넓이 등 외형적인 제원 정도가 들어 있다는 것이다. 특히 이번에 넘어간 F-15 자료는 우리 공군이 운영 중인 F-15K와는 관련이 없다고 강조했다. F-15 정비 메뉴얼 사진과 정비와 관련된 자료도 유출됐으나 기밀 수준은 아니라고 군 당국은 설명했다. 인터넷에 공개된 수준을 벗어나지 않는다는 것이다.

중고도 무인정찰기는 대한항공에서 앞으로 육군 군단급 부대에서 운용하도록 개발 중인 차기정찰기이다. 현재 운용 중인 사단급 정찰용인 '송골매'보다 개량되는 기종이다. 경찰과 군 당국은 중고도 무인정찰기의 소개자료와 외형설계도 정도가 유출된 것으로 파악하고 있다. 핵심자료인 내부 설계도가 유출됐다면 상황이 복잡해질 수 있지만, 이 자료는 유출되지 않은 것으로 확인됐다고 군은 설명했다. 군 관계자는 "대한항공은 민감한 군사자료는 모두 암호를 걸어놨다"면서 "이 암호는 쉽게 풀 수 없는 것으로 안다"고 전했다. 다른 관계자는 "군 통신망 자료 유출과 관련해서는 국방광대역통합망의 유지 보수를 맡은 한 업체에서 입찰제안서가 유출된 것으로 안다"고 설명했다.

하지만 현재까지 유출된 국방 관련 자료 가운데 기밀 수준은 없다고 해도 방산 및 국방사업 관련 기업체의 보안 기강 해이 수준은 심각하다는 것이 군 안팎의 지적이다. 북한이 수차례 우리 정부와 관공서, 언론사, 금융 전산망 등의 해킹을 시도했고, 방산업체를 겨냥하고 있다는 징후가 감지됐음에도 집안 단속에 소홀했다는 것이다. 군은 인터넷과 내부 전산망을 분리 운용하고 있어 북한 해커들이 내부 전산망으로 침투할 수가 없다. 그러나 대부분의 방산업체와 국방사업 관련 기업들이 방산업무와 관련한 전산망을 분리해 운용하지 않은 것으로 알려지고 있다. 방산·보안담당 업무를 맡은 국군기무사는 앞으로 방산업체와 군납 업체의 보안측정 수준을 강화하고 위반시 벌칙도 강하게 부여할 계획인 것으로 알려졌다.

권맑은샘 기자