북한 해킹 조직 ‘안다리엘’이 3개월간 83회에 걸쳐 군사기밀 자료 등을 빼갈 동안 국내 방산 업체, 정보기술(IT) 업체, 첨단 연구원 등 피해 업체 대부분은 해킹 사실조차 파악하지 못한 것으로 드러났다. 정부가 과거부터 북한 해킹 조직에 대한 위협을 수차례 경고했음에도 가장 높은 등급의 보안이 요구되는 방산 업체와 첨단 연구소 등이 이를 전혀 대비하지 못했다는 지적이 나온다.
4일 경찰 수사 결과에 따르면 안다리엘 해커들이 사용한 인터넷주소(IP)는 ‘조선민주주의인민공화국 평양 류경동’으로 특정됐다. 류경동은 북한 최고층 건물인 류경호텔을 비롯해 국제통신국과 평양정보센터 등 각종 IT 시설이 있는 곳이다.
안다리엘은 류경동에서 지난해 12월부터 올해 3월까지 석 달간 국내 서버에 모두 83차례 접속해 국내 방산 업체, 첨단 연구원 등 최소 14개 업체를 해킹했다. 그리고 레이저 대공무기, 무기 제작 계획서 등 중요 기술 자료뿐 아니라 서버 사용자 계정의 아이디·비밀번호 등 개인정보가 담긴 파일 250여 개를 탈취했다. 그러나 풀HD급 영화 230편 이상의 분량에 해당하는 자료 1.2TB가 털릴 동안 업체 대부분은 피해 사실을 전혀 인지하지 못했다.
경찰 관계자는 “수사 중이라 정확히 밝힐 수는 없지만 안다리엘의 해킹 수법은 기존의 북한 해킹 조직이 사용하던 수법과 크게 다르지 않은 것으로 추정된다”면서도 “해킹이라는 게 물리적으로 뭔가 없어지거나 눈에 보이는 게 아니라 데이터를 탈취하는 것이기 때문에 업체 측에서 몰랐을 수 있다”고 설명했다.
하지만 이번에 해킹 피해를 입은 업체가 방산, 통신, 보안, IT 서비스 등 국가·산업적으로 중요한 기술을 다루는 곳인 만큼 보안에 더 철저했어야 한다는 비판이 나온다.
김승주 고려대 정보보호대학원 교수는 “특정 기관에 대해서는 정부가 나서서 보안을 관리할 필요도 있겠으나, 모든 보안의 시작은 자율 보안 강화”라면서 “기밀 자료를 취급하는 기관일수록 근본적으로는 각 기관이 보안 상태를 강화하려는 노력이 필요하다”고 조언했다.
정부도 북한 해킹 조직의 소행 이후 각 업체의 보안 강화에 대해 여러 차례 경고한 바 있다. 북한 해킹 조직이 국내 업체 및 기관, 개인 등을 해킹해 단순히 정보를 빼돌리는 것뿐 아니라 금전까지 탈취하려는 사례가 잇따라서다. 지난달만 하더라도 북한 해킹 조직 ‘김수키(Kimsuky)’가 국내외 500여 개의 경유 서버를 장악해 내국인 1000여 명의 e메일 계정을 탈취하는 사건이 발생했다. 김수키는 이렇게 해킹한 정보를 바탕으로 피해자 19명의 가상자산거래소 계정에 접속하고자 했으나 추가 보안 절차를 넘지 못하면서 금전적 손해까지 입히지는 못했다.
이에 국가정보원은 “북한 해킹 조직이 국내 보안 인증 소프트웨어의 취약점을 악용한 해킹 공격을 지속하고 있다”며 “조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신 업체 등과 합동으로 소프트웨어 자동 삭제 등 능동적 대응에 나설 계획”이라고 밝혔다.
올 8~9월에도 북한은 국내 주요 조선 업체를 대상으로 해킹 공격을 시도했다. 당시 국정원은 북한 해킹 조직이 내부 직원을 대상으로 피싱(낚시성) e메일을 유포한 뒤 악성 코드를 설치하는 등의 수법을 동원한 것으로 보고 보안 대책을 지원했다. 북한은 2021년에는 동일한 방식으로 국산 전투기 KF-21 보라매 등 한국항공우주산업(KAI)의 전력 사업 정보들을 탈취한 것으로 알려졌다. 당시 해킹 배후 조직으로도 안다리엘이 거론됐었다.
이번에 발생한 안다리엘 사건의 경우 피해 업체 중 3곳은 랜섬웨어 공격을 당해 시스템 복구 대가로 모두 4억 7000만 원에 달하는 비트코인을 뺏긴 것으로 밝혀졌다. 랜섬웨어 공격이란 컴퓨터 시스템을 감염시킨 후 이를 인질로 삼아 ‘접근 권한을 다시 얻고 싶으면 암호화 화폐 등 몸값을 내놓으라’고 협박하는 것을 의미한다.
이렇게 뜯긴 돈은 고스란히 북한으로 흘러 들어간 것으로 추정된다. 경찰은 비트코인 자금 흐름을 추적한 결과 4억 7000만 원 중 약 1억 1000만 원 정도가 외국인 여성 A 씨의 계좌를 거쳐 중국 랴오닝성에 소재한 중국 K은행으로 송금된 사실을 포착했다. 이 돈은 다시 북중 접경 지역에 위치한 K은행 지점에서 출금된 것으로 파악됐다. 이에 경찰은 해당 자금이 북한으로 흘러 들어간 것으로 추정하고 A 씨를 피의자로 입건해 조사 중이다. 다만 A 씨는 현재까지 “과거 홍콩 소재 환전 업체 직원으로 근무할 당시 편의상 자신의 계좌를 거래에 제공해준 것뿐”이라며 연루 여부 등 혐의를 부인하고 있는 것으로 알려졌다.
경찰 관계자는 “이번 사건에 대해 미국 연방수사국(FBI) 등 관계 기관과 적극적으로 국제 공조 수사를 진행하는 한편 추가 피해 사례 및 유사 해킹 시도 가능성에 대해서도 계속 수사할 계획”이라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
name@sedaily.com
