탈탈 털린 ‘방산’…한수원·LIG넥스원 ‘철벽 방어’

북한 해킹조직, 국내 방산업체 공격 10여 곳 피해 라자루스·안다리엘·김수키.협력업체 해킹, 악성코드 심어 국정원 주도 방산침해대응협의회 구성, 망 분리 등 대응

2024-04-24     서효림 기자

한국금융경제신문=서효림 기자 | 북한 해킹조직의 국내 방산업체 10여 곳을 해킹한 사실이 공개돼 파문이 일고 있다. 경찰 수사가 시작되기 전까지 피해 사실을 인식조차 하지 못한 것으로 알려져 불안감이 높아진 가운데 국내 방산 산업 보안 현황에 관심이 커지고 있다. 

최근 경찰청 국가수사본부 안보수사국과 국가사이버위기관리단이 공조해 수사한 결과, 북한 해킹조직 라자루스·안다리엘·김수키가 국내 방산기술 탈취를 노리고 국내 방산업체를 공격한 사실이 확인됐다. 국내 방산업체 총 83곳 중 10여 곳이 해킹 당했지만, 구체적인 피해 규모는 추산되지 않았다. 

또 공격에 사용된 IP 주소와 악성코드(Nukesped, Tiger RAT 등), 소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식 등을 근거로 북 해킹조직의 소행으로 판단했다. 일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력(한수원) 공격 때 쓰였던 IP와 동일한 것으로 드러났다.

라자루스 해킹조직 방산기술 탈취 수법. 자료=경찰청

2014년 북한의 해킹조직 ‘김수키’는 한수원을 해킹해 원전 도면의 일부를 탈취했다. 지난해 2월 한미연합연습인 ‘을지 자유의 방패(UFS)’를 앞두고 전투모의실에 투입된 국내 워게임(War Game) 운용업체에 악성코드가 들어간 전자우편 공격을 지속해 악성코드를 심은 것도 이들이다. 

경찰은 이번 수사로 최소 1년 6개월 전부터 비교적 최근까지 해킹 공격이 있었다는 사실은 확인했지만, 구체적인 범행 기간과 전체적인 피해 규모는 파악이 어렵다고 밝혔다. 국수본 역시 북한이 탈취를 시도한 구체적인 방산기술 유형과 국가전략기술의 유출 여부 등도 국가 보안 사항이라는 이유로 밝히지 않았다.

국내 방산기술이 향상되면서 이를 노리는 해커들의 공격이 지속적으로 증가하고 있다. 특히 북한은 무기 기술을 획득하기 위한 수단으로 채용 담당자로 위장 가입한 뒤 친분을 쌓은 이후 이직 상담을 핑계로 다른 SNS로 유인한 뒤 일자리 제안 PDF 파일을 발송해 악성코드 설치를 유도하거나 유지보수 업체를 통해 우회 침투하는 등 다양한 공격을 시도하고 있다.

한수원에 대한 해킹 시도는 최근 7년간(2017~2023년) 약 400건에 육박한다. 국회 과학기술정보방송통신위원회 소속 국민의힘 김병욱 의원이 한수원으로부터 제출받은 자료에 따르면 한수원에 대한 해킹 시도는 총 389건에 달한다. 한수원은 “해킹 공격에 대한 피해가 없다”고 밝혔다. 한수원은 국가보안기술연구소와 원자력 사이버 보안 안전성 확보를 위해 협력하고 있다. 

24일 부산 벡스코에서 열린 '2024 한국원자력연차대회'에서 개회사를 하고 있는 황주호 한국수력원자력 사장. 사진=한국수력원자력

5개 발전공기업(한국동서발전, 한국서부발전, 한국중부발전, 한국남부발전, 한국남동발전)과 산업부 정보보호담당관, 전력거래소, 관련 산업체 등과 최신 사이버 보안 동향과 사례를 분석해 사례를 공유하고, 미래 사이버 위협에 공동으로 대응할 수 있는 토대를 마련함으로써 우리나라 에너지 분야 기반시설을 사이버 위협으로부터 안전하게 보호하기 위해 노력하고 있다.

LIG넥스원은 국정원과 방위사업청 등 7개 정부기관, 방위산업진흥회,국방기술진흥연구원 등 7개 유관 단체, 현대로템을 포함한 15개 방산업체와 함께 민관 합동 방산침해대응협의회를 구성하고 피해가 나타나면 적극적으로 협력해 공동으로 대응하는 방안을 모색하고 있다. 

또한 보안업무 강화를 회사의 주요 경영방침으로 정하고 기술자료 보호를 위한 전산관리 보안시스템, 첨단 감시·통제 시스템, 물리적 망분리 시스템 등을 도입‧운영하는 등 방위산업 자료 보호를 위한 보안정책을 선제적으로 추진해 왔다.

2024 이순신 방위산업전(YIDEX)'의 LIG넥스원 부스. 사진=LIG넥스원

방위사업청은 방산기업과 협력기업 총 102곳을 대상으로 ‘2024년 사이버보안 취약점 진단사업’에 착수했다. 이 사업은 방산기업의 잠재적 해킹 위협 요소를 발굴·해소하고 사이버보안 수준을 향상하기 위해 2021년 시범사업으로 시작돼 올해로 4년차를 맞는다. 방사청은 기업들을 대상으로 이달 중순 사업설명회를 실시한 후 연말까지 사이버보안 취약점을 진단하게 된다. 시나리오 기반의 모의해킹과 해킹메일 대응 훈련도 진행한다.

업계 관계자는 “최신 기술 활용을 위해 정보공유가 필수적이며 업무효율을 개선키 위해 개발환경 또한 최신으로 이뤄져야 한다”며 “협력업체와의 정보 공유도 효율적으로 진행돼야 하며 테크기업과의 협력을 위한 개발환경도 필요하다”고 강조했다.