[파이낸셜뉴스] 미국 정부가 지난달 북한의 위성 발사에 대한 대응으로 북한 해킹 조직과 다른 북한 국적자 8명을 제재하기로 했다. 이번 제재는 미국과 한국, 호주, 일본까지 4개국이 참여하는 제재로 유엔 차원의 제재가 결렬된 다음 나왔다. 미 재무부는 지난달 30일(이하 현지시간) 홈페이지 공지를 통해 제재 사실을 알렸다. 재무부 해외자산통제국(OFAC)은 이날 북한 해킹조직 '김수키'와 강경일, 서명 등 북한 국적자 8명을 제재 대상 명단(SDN)에 추가했다. 해당 명단에 오른 인물들의 재산은 미국에 있거나 미국인이 관리하는 경우 미 정부의 재량에 따라 거래가 동결된다. 동시에 미국인 및 미국 조직과 거래도 금지된다. 미 재무부는 김수키에 대해 북한 정찰총국 제3국(기술정찰국) 산하 해커 조직이며 2012년부터 활동하고 있다고 설명했다. 재무부는 김수키가 정보 수집 조직이지만 온라인 간첩 활동을 통해 북한의 핵개발에 직접 기여한다고 주장했다. 유엔 안전보장이사회(안보리) 산하 대북제재위 전문가 패널은 지난 4월 보고서에서 김수키가 군사, 에너지, 사회기반시설 등을 겨냥해 해당 분야에서 활동하는 업체들의 기밀 정보를 노린다고 분석했다. 재무부는 김수키가 특정인을 목표로 정보를 훔치는 공격을 주로 사용한다며 유럽과, 한국, 일본, 러시아, 미국 등의 정부나 연구소, 언론, 개인 등을 목표로 삼는다고 지적했다. 김수키는 기관이나 실존인물을 사칭하는 e메일을 뿌려 정보를 빼내는 수법을 자주 사용한다. 한국에서도 2014년 한국수력원자력 문서 유출, 2016년 국가안보실 사칭 메일 사건, 지난해 정부기관 및 국회의원실 사칭 메일 사건 등을 저질렀다. 한국은 지난 6월에 북한의 위성 발사 시도 직후 김수키를 독자 제재했다. 이외에 제재 명단에 오른 북한 국적자 8명은 북한의 국영 무기 수출업체, 금융 기관, 유령 회사 등 외화벌이와 관련된 인물들이다. 북한은 지난달 21일 ‘천리마 1형’ 로켓에 군사 정찰 위성 ‘만리경 1호’를 탑재하여 발사했다. 북한 조선중앙통신은 지난달 30일 발표에서 만리경 1호가 미 캘리포니아주 샌디에이고 해군기지와 일본 오키나와의 가나데 공군기지를 촬영했다며 정상 임무를 시작한다고 주장했다. 안보리는 지난달 27일에 긴급 회의를 열고 북한의 위성 발사를 논의했다. 한국과 미국 등은 북한이 안보리 결의를 어기고 탄도 미사일과 관련된 기술을 계속 이용하고 있다고 강조했다. 이에 김성 주유엔 북한대사는 “그럼 미국은 탄도 미사일 기술을 사용하지 않고 투석기로 위성을 날리느냐”라고 주장했다. 그는 최근 부산항에 입항한 미 항공모함 칼 빈슨함과 한미 연합훈련 등을 언급하며 미국의 위협이 문제라고 주장했다. 안보리 상임이사국인 중국과 러시아는 북한이 자위권을 행사했다며 안보리 차원의 대북 규탄 성명이나 결의안 채택을 방해했다. 미 재무부는 이번 독자 제재에 대해 북한이 국영기업이나 은행 등을 통해 창출하는 수익과 무기를 겨냥했다고 밝혔다. 토니 블링컨 미 국무 장관은 이번 제재와 관련한 별도 성명에서 “북한에 대해 4개국이 조율해 제재를 부과한 것은 처음”이라고 강조했다. 그는 동맹 및 파트너와 협력해 북한의 불법 무기 프로그램에 들어가는 돈을 차단하겠다고 밝혔다. pjw@fnnews.com 박종원 기자

[파이낸셜뉴스] 지난 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용업체 직원들을 대상으로 발송된 악성 전자우편 사건을 수사한 결과, 북 해킹조직의 소행으로 밝혀졌다.  20일 경찰청 국가수사본부 안보수사국에 따르면 이번 사건은 미군 수사기관이 해킹 공격을 인지한 후 경찰과 정보공유를 통해 피해 사실을 확인했다. 경기남부경찰청이 미군 수사기관과 공조해 추적 수사 및 피해 보호조치를 진행했다. 수사 결과, 북 해킹조직은 지난해 4월부터 국내 워게임 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했다. 지난 1월경에는 해당 업체 소속 행정직원의 전자우편 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 밝혀졌다. 이후 원격접속을 통해 피해업체의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취한 것으로 확인됐다. 북 해킹조직은 탈취한 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 전자우편을 한미연합연습 전투모의실에 파견된 피해업체 직원들을 대상으로 발송했다. 이를 수신한 직원들이 미 국방 전산망에서 악성 첨부 문서를 실행하려 했으나, 보안시스템에 의해 악성코드가 차단돼 군 관련 정보는 탈취되지 않은 것으로 확인됐다. 다만, 일부 직원들이 해당 전자우편을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염된 것으로 밝혀졌다. 경찰청과 미군 수사기관은 공격 사용된 아이피(IP)가 과거 ‘한국수력원자력 해킹 사건(2014년)’에서 확인된 아이피(IP) 대역과 일치하며, 탈취한 자료를 자동으로 전송하는 기능이 포함된 악성코드가 사용된 사실을 확인했다. 경찰 등은 △경유지 구축 방법 등 기존 공격과 유사성 △북한식 어휘‘념두(염두)’△한미연합연습 시기에 맞춰 공격한 점 등을 종합 판단한 결과, 이번 사건을 북 해킹조직 일명‘김수키(Kimsuky)’소행으로 판단했다. 경찰청과 미군 수사기관은 합동으로 피해업체의 공용 및 개인용 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 완료했고, 추가 피해 예방을 위해 한미연합연습에 참여하는 근무자를 대상으로 보안교육을 실시했다. 한편, 한미연합 군사연습인‘을지 자유의 방패(UFS)’(8월 21일~31일)를 한 달여 앞둔 지난 7월, 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인하고, 경기남부경찰청(안보수사과)이 미군 수사기관과 공조수사를 계속 진행하고 있다. 경찰청은 "한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례"라면서 "앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다"고 밝혔다.  beruf@fnnews.com 이진혁 기자

[파이낸셜뉴스] 북한의 해킹조직이 지난해 외교·안보 전문가들에게 피싱메일을 대량 유포해 전직 통일외교분야 장관 등의 계정 정보를 탈취한 것으로 확인됐다. 경찰청 국가수사본부 안보수사국은 안보계 악성 전자우편 사건을 수사한 결과 일명 '김수키(Kimsuky)로 알려진 북한 해킹조직의 소행으로 판단했다고 7일 밝혔다. 이들은 통일·안보 전문가 등을 사칭해 지난해 4월부터 8월까지 전·현직 공무원, 대학교수, 외교·통일·안보·국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도해 계정 정보를 빼돌리는 악성 전자우편을 발송한 혐의를 받는다. 윤석열 정부의 출범 시기에 맞춰 외교안보 전문가들이 새 정부에 자문하거나 중대한 역할을 맡을 가능성을 고려해 범행을 저지른 것으로 보인다. 피해자는 9명으로 확인된다. 이 가운데 전직 통일외교분야 장·차관 3명과 현직 공무원 1명 등이 포함됐다. 북한 해킹 조직은 피해자들의 이메일 계정에 있던 송수신 메일, '내게 쓴 메일함'에 저장해둔 자료, 지인들의 주소록 등 정보를 탈취했다. 피해 계정에 기밀 자료나 국가 안보와 직결된 정보는 없던 것으로 파악된다. 이들은 교수·연구원, 기자를 사칭해 논문 관련 의견이나 인터뷰 등을 요청하면서 피해자에게 접근했다. 이후 대용량 문서 파일을 다운받도록 유도한 뒤 보안을 위해 본인 인증을 해야 한다고 거짓말했다. 피해자들이 인증을 위해 가짜 피싱사이트에 접속해 아이디와 비밀번호를 입력하자 그 정보를 빼돌렸다. 경찰은 △공격에 사용한 아이피(IP) 주소 △경유지 구축 방법 △메일 내용의 북한식 어휘 문구 △공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 김수키의 소행으로 판단했다.  북한 해킹조직은 국내외 해킹을 통해 138개(국외 102개, 국내 36개)의 서버를 장악했고 추적을 피하기 위해 아이피(IP) 주소를 세탁했다. 각 서버는 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 구분돼 있어 수사기관의 추적을 피하기 위한 것으로 보인다. 메일에는 '내일'의 준말인 '낼' 대신 두음법칙을 적용하지 않은 북한식 어휘 '래일'의 준말 '랠'이 쓰이거나 '인터뷰에 적합한 분' 대신 '인터뷰에 적중한 분' 등의 표현이 쓰였다.  또 경찰은 이들의 공격 서버에서 이들이 사용한 가상자산 지갑 주소를 발견했다. 가상자산 지갑에는 200만원대 거래내역이 확인됐다. 경찰은 이것이 범죄수익이라는 근거는 발견하지 못해 제재하지 못했으나 이들 조직이 금전 탈취도 시도하고 있는 것으로 보고 수사 중이다. yesyj@fnnews.com 노유정 기자

[파이낸셜뉴스] 한미 양국은 2일 대표적인 북한 해킹 조직으로서 전세계를 대상으로정보·기술을 탈취해 온 김수키(Kimsuky)에 대한 한미 정부 합동 보안권고문을 발표했다. 아울러 우리 정부는 김수키를 세계 최초로 대북 독자제재 대상으로 지정했다. 김수키는 외교·안보·국방 등 분야 개인·기관으로부터 첩보를 수집해 이를 북한 정권에 제공해 왔다. 또한 김수키를 비롯한 북한 해킹 조직들은 전세계를 대상으로 무기 개발 및 인공위성·우주 관련 첨단기술을 절취해 북한의 소위 위성 개발에 직간접적인 관여를 해왔다. 이번 조치는 지난주 북한 IT 인력에 대한 한미 공동 독자제재 후 10일 만에 이뤄진 조치로, 북한 불법 사이버활동에 대한 한미 양국 정부의단호하고 지속적인 대응 의지를 보여주는 것이다. 이번 조치가 김수키를 비롯한 북한 해킹 조직의 제반 활동에 대한 국내외 경각심을 제고헤 이들의 활동을 위축시키고, 북한의 해킹 공격으로부터 더욱 안전한 사이버 환경을 조성하는데 기여할 것으로 기대된다. 아울러 이번 조치는 북한이 국제사회의 경고에도 불구하고 소위 위성 명목의 장거리 탄도미사일을 발사한데 이어 재차 발사를 감행하겠다고위협하고 있는데 대응해 북한이 도발에 대한 대가를 반드시 치르도록 하겠다는 우리 정부의 강력한 의지를 보여주는 것이다. syj@fnnews.com 서영준 기자

[파이낸셜뉴스]   방위사업청은 국산 초음속 전투기 KF-21에 탑재될 공대공 미사일을 생산하는 독일 방산업체에 대한 해킹 공격 정보에 대해 현재까지 신고된 바가 없다고 7일 밝혔다. 방사청은 설명자료를 내고 "KF-21 해외 협력업체에 대한 북한의 해킹 시도를 엄중하게 주시하고 있다"며 "관계기관과 긴밀하게 협조해 해킹 여부를 확인하고, 해킹을 통한 기술 자료 유출이 확인될 경우 신속하게 필요한 조치를 취해 KF-21 사업 추진에 영향이 없도록 관리할 것"이라는 입장을 전했다. 앞서 독일 매체 ZDF와 슈피겔은 지난달 27일 독일 방산업체인 ‘딜 디펜스’가 ‘김수키(Kimsuky)’로 알려진 북한 해커 부대의 공격을 받았다고 보도했다. 이에 따라 북한의 해킹 공격으로 딜 디펜스가 보유한 핵심 군사 기밀이 유출됐을 가능성이 제기되고 있다. 딜 디펜스는 전투기에 탑재되는 사거리 약 25km AIM-2000으로도 불리는 단거리 공대공 미사일인 IRIS-T를 제조하는 업체다. 해당 미사일은 KF-21 보라매와 말레이시아에 수출된 국산 다목적 경전투기인 FA-50에도 탑재해 운용할 예정이다. IRIS-T라는 명칭은 '적외선 영상 유도 미익-추력편향 조종 미사일'(Infra Red Imaging System Tail-Thrust Vector Controlled)의 줄임말이다. IRIS-T는 90도의 탐지각에서 목표를 추적하는 우수한 탐색 능력과 후미에 추력편향 노즐로 초당 60도, 60G(기압)로 선회할 수 있어 근접 타격 능력이 뛰어나다. 특히 프래어를 극복할 수 있으며 미사일을 발사한 전투기가 목표물을 가린 경우에도 요격할 수 있다. 올해 2월, KAI와 딜 디펜스는 KAI의 FA-50에도 IRIS-T를 통합하기로 합의했다. 이로써 KF-21과 FA-50 두 플랫폼 모두에 IRIS-T를 탑재 운용할 수 있게 됐다. 지금까지 IRIS-T는 유로파이터 타이푼, JAS-39 그리펜, F-16, EF-18, F-5와 같은 주요 전투기 플랫폼 등에 통합, 운용되고 있다. KF-21에 탑재될 IRIS-T 단거리 공대공 미사일은 지난해 3월 KF-21 시제기에 장착돼 비행 중 분리시험에 성공했다. 이어 지난해 4월 KF-21에 탑재된 다중위상배열(AESA) 레이더를 통해 AIM-2000을 발사해 성공적으로 목표 드론을 명중시키는 실사격 실험에 성공했다. wangjylee@fnnews.com 이종윤 기자

[파이낸셜뉴스]  최근 5년간 국내·외로부터 7000건이 넘는 사이버 공격을 받았지만 단 한 번도 뚫리지 않는 곳이 있어 주목받고 있다. 정부기관을 비롯해 행정부처, 언론사, 기업 등을 가리지 않고 사이버 보안이 뚫려 국가안보와 막대한 재산상 피해를 입고 민감한 국민들의 개인정보까지 해킹당하는 사례가 끊이지 않는 상황에서 정교한 사이버 보안시스템을 갖춘 곳은 과연 어딜까? 바로 징집·소집과 병무행정 등을 총괄하는 병무청이다. 7일 병무청에 따르면, 최근 5년간 총 7121건의 대내외적 무차별적인 해킹에도 정보보호 시스템 확립과 즉각적인 차단 조치, 상시 감시체제 가동 등으로 단 한 건의 해킹 피해가 발생하지 않았다. 안보기관으로서 군 복무와 관련된 중요한 병역자료를 관리하고 있는 병무청은 국내·외 해커들에게 민감한 타깃이 될 수 있다. 무차별적인 사이버 공격 시도가 급격히 증가하는 추이에서 병무청의 사이버 위협에 대한 성공적인 대응은 모범적인 대표적 사례라고 전문가들은 평가했다. ■전문 조직 구성, 3단계 정보보호 방어체계 구축 이 같은 병무청의 전산망 보호 시스템의 성과는 사이버 위협에 대응하기 위해 강력한 정보보호 체계를 구축·운영해 온 결과이다.  병무청은 국가 사이버안보센터와 위협 정보를 실시간 공유.반영해 알려진 각종 위협요소들을 사전에 차단하는 등 보안정책을 최신자료로 현행화해 관리하고 있다. 구체적으로는 △전문화된 정보보호 조직을 구성해 역량을 강화했다. 2021년 7월에 정보보호팀을 별도 조직으로 분리·운영해 사이버 보안 및 개인정보보호를 전문적으로 대응하고 있다. 팀에 선발된 직원들은 전문기관 및 민간 기업으로부터 주기적으로 교육을 이수하고, 전체 직원이 정보보호의 중요성을 인식하도록 교육 및 컨설팅도 주기적으로 실시하고 있다. 아울러 병무청은 △사이버 위협에 체계적인 대응을 위해 3단계 정보보호 방어체계를 구축했다. 1단계는 '망분리 체계'로 병역자료 등이 담긴 내부 업무망과 국민들이 민원신청 등을 위한 외부 인터넷망을 물리적으로 분리해 내부 업무망 접근을 원천적으로 단절·차단·관리함으로써 외부 해킹의 위험성을 크게 낮췄다. 2단계는 '정보보호 시스템 운영'이다. 내부 업무망도 통제를 강화해 본인확인(인증) 및 업무 권한을 제어하고 비인가 단말기(PC 등)에 대해서도 망 접근을 엄격히 통제하고 있다. 자료 유출 예방을 위한 매체제어 시스템을 통해 내부자료의 외부 전송을 원천적으로 금지한다. 유해사이트 차단 시스템으로 민간상용메일을 통한 외부 자료전송을 막고 있으며, 외부 자료전송은 보안이 강화된 공직자 통합메일을 통해서만 가능하다. 또한 병역자료 DB와 모든 문서들은 암호화해 관리되고 있어 병무청 외부에서는 복호화가 불가능해 자료유출을 예방할 수 있다. 이어 3단계는 '사이버안전센터 운영'이다. 병무청 망과 시스템 상황을 모니터링 하고 네트워크 및 시스템에서 발생하는 다양한 이벤트를 24시간 365일 실시간으로 확인·분석해 각종 보안 위협을 식별하고 대응한다. 안전센터 관제 모니터에 위협 징후들이 표출되면, 관제요원들이 직접 침입 시도 등 각종 이상 행위들을 확인하고 차단한다. 이어 위협 상황에 대해 원인 분석→보안 취약점 개선→관련 프로세스 실행 차단→·비인가 소프트웨어(SW) 삭제 등의 조치를 취한다. ■한반도 둘러싼 국제정세 변화, 사이버 보안 위기 사이버 공격은 물리적 공격과는 달리 즉각적이고 신속하게 수행될 수 있으며, 특정 기업·국가·인프라 등을 목표로 빠른 시간 안에 큰 피해를 줄 수 있다. 최근 신냉전을 틈타 북한, 러시아, 중국 등 현상변경 진영 국가들을 중심으로 사이버 공격이 급격히 증가하고 있다. 이들 국가들은 사이버 영역을 제3의 전장으로 규정하고 전문화된 해커와 해킹 그룹을 양성해 사실상 사이버 전쟁에 준하는 공격을 감행하고 있는 것으로 관측된다. 북한의 경우 과거 여러 사례가 있지만 최근 올해 4월에 북한의 대표 해킹조직 3곳(라자루스, 안다리엘, 김수키)이 합동으로 국내 방산업체를 악성코드로 공격하여 10여곳을 해킹하고 기술자료를 탈취했다. 이어 북한은 5월에는 법원 전산망에 2년간 지속적으로 침투해 내부 서버들에 악성코드 감염시켜 자료를 외부로 유출한 사실이 드러났다. 중국 해커 니옌은 올해 1월 국내 웹사이트 중 보안에 취약한 IP주소 1만개 이상을 텔레그램에 공유하고, 해킹하는 과정을 유튜브에 공개하는 등 한국에 대한 해킹을 부추기기도 했다. 앞서 중국의 해킹조직 ‘샤오치잉’은 지난해 1월, 한국의 정부 및 공공기관을 2000개 이상 해킹하겠다고 선전포고한 바 있다. 같은해 2월에는 한국인터넷진흥원(KISA)을 타깃으로 한 사이버공격을 예고하는 등 대규모 해킹 작전을 감행했다. 이로 인해 연구소 등 일부 보안이 취약한 공공기관이 해킹을 당했다. 친 러시아 해커집단 사이버 드래건(Cyber Dragon)은 올해 6월 윤석열 대통령의 우크라이나 회의 참석 이후 ‘한국은 키이우(우크라이나 수도) 정권을 지지하며 러시아 혐오증을 조장하는 국가’로 규정하고 한국 정부와 금융사 5곳을 공격했다. 또한 해킹그룹 데드섹(DedSec)은 정부 홈페이지에 사이버 공격을 가해 약 1시간 정도 접속장애를 일으키기도 했다. 이같이 제4차 산업혁명 등 정보통신(ICT) 기술환경 변화에 따라 사이버 공격 또한 갈수록 고도화·지능화 되고 있다. ■사이버 공격 진화에 대응...차세대 탐지·방어 체계 구축 대한민국은 헌법에 의해 ‘모든 국민은 국방의 의무를 진다고 규정돼 있다. 병무청은 병역이행 과정에서 발생하는 모든 병역 의무자들의 병역 자료를 관리하면서, 헌법과 병역법에 따라 투명하고 공정하게 법을 집행하는 기관이다. 병무청에선 차질없는 병역이행을 위해 병역의무자들이 18세가 되면 병역준비역으로 편입, 19세에 병역판정검사를 실시한 후 그 결과에 따라 20세부터 현역·보충역 등의 병역이행을 수행 할 수 있도록 서비스를 제공한다. 아울러 전역 이후에도 예비군 편성 및 병력동원까지 업무를 수행한다. 병무청이 보유하고 있는 데이터는 우리나라 20대 남성 대다수의 의료 기록을 포함한 병역자료로 평시 군 입영과 전시 병력동원 등과 직결돼 있다. 이 때문에 해킹에 의한 병역자료의 위변조 및 외부 유출은 개인적인 피해뿐만 아니라 국가 안보와 사회에 치명적 위협이 될 수 있다. 따라서 사이버 위협에 대한 병역자료의 안전성을 보장하기 위한 정보보호 의식, 사이버 위협·공격에 대응하기 위한 조직 및 정보보호체계 강화·운영·관리는 매우 중요하다고 병무청은 거듭 강조했다. 최근 인공지능(AI), 클라우드, 챗GPT 등 다양한 신기술의 등장과 코로나19 이후 비대면 업무의 부각 등 ICT 환경이 급속히 변화, 발전하면서 사이버 공격 기술도 진화하고 있다. 병무청은 선제적 대응을 위해 최신 정보보호 시스템 도입 필요성을 절감하고, 2025년에는 차세대 지능형 침입 탐지·방어 체계 구축을 추진할 예정이다. 병무청 관계자는 “사이버 위협이 고조되는 위기상황 속에서도 정보보호 체계를 더욱더 강화해 전·평시 병역자료 및 비밀자료를 빈틈없이 안전하게 보호하고, 단 한 건이라도 보안사고 없이 철저한 관리로 병무행정의 공정성 및 신뢰성을 높이겠다”고 밝혔다. 국내 손꼽히는 정보계통의 전문가인 김황록 전 국방정보본부장(예비역 육군 중장)은 지금까지 보여준 병무청의 ‘전문화된 정보보호 조직 구성원들의 역량’과 사이버 위협에 대응하는 ‘3단계 정보보호 방어체계 구축 및 운영 성과’에 대해 높은 평가와 격려를 표했다. 그러면서 “국방 등 다양한 분야에서 ‘AI 해킹 방어’가 새롭게 주목받는 상황에서 사이버 해킹 공격에 대비한 실존적 총력 대응에 빈틈없는 태세를 갖춰야 한다”고 제언했다. wangjylee@fnnews.com 이종윤 기자

[파이낸셜뉴스]국방부와 군 고위급 인사들의 개인 이메일이 북한 소행으로 추정되는 해킹 공격을 당해 경찰이 수사 중이다. 21일 경찰에 따르면 경찰청 안보수사국은 최근 차관급을 포함한 국방부 고위공무원과 군 장성들의 개인 이메일 해킹 피해를 파악하고 조사에 착수했다. 이번 사건은 군이나 공직자의 관용 이메일 계정이 아니라 개인 이메일 계정이 해킹당한 것으로, 군 서버에 대한 사이버 공격과는 무관한 것으로 알려졌다. 경찰은 이들 군 관계자와 유사한 방식으로 외교안보 전문가 등 내국인 총 100여명의 개인 이메일이 해킹당한 사실을 파악하고 수사 중인 것으로 전해졌다. 김수키 등 북한 해킹조직은 우리 군과 외교안보 당국, 전문가 등 주요 인사들의 이메일 계정을 탈취하는 사이버 공격을 지속하고 있다. 지난달 경찰청 안보수사국은 김수키를 포함해 라자루스, 안다리엘 등 북한의 3대 해킹조직이 국내 방산기술 탈취를 목표로 최소 1년 6개월 전부터 국내 방산업체 10여곳에 전방위적인 해킹 공격을 가했다는 수사 결과를 발표한 바 있다. beruf@fnnews.com 이진혁 기자

북한이 운영하는 해킹조직 3곳이 국내 방위산업체 10여곳의 자료를 빼내간 것으로 확인됐다. 경찰청 국가수사본부 안보수사국은 북한의 3개 해킹조직(라자루스·안다리엘·김수키)이 국내 방산기술 정보를 빼내기 위해 전방위 공격하고 있는 것을 확인해 보안조치를 취했다고 23일 밝혔다. 국가수사본부는 국가사이버위기관리단과 공조해 국내 방산기술 유출 사건을 수사해왔다. 경찰청은 이들이 공격에 사용한 IP주소와 경유지 구축 방법, 공격에 사용한 악성코드 등을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다. 이들은 회사 내·외부 망 연계시스템, 협력업체 보안, 그룹웨어 등의 취약점을 찾아내 회사 내부 정보를 빼내갔다. 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다. 일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것으로 드러났다. 라자루스는 지난 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드를 심었다. 이들은 악성코드를 이용해 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망을 장악, 컴퓨터 6대에서 자료를 빼냈다. 안다리엘은 방산 협력업체를 노렸다. 이들은 지난 2022년 10월경부터 협력업체인 B사 등을 원격 유지 보수하는 C사의 계정정보를 탈취해 B사에 악성코드를 설치한 후 서버에 저장된 자료를 훔쳤다. 김수키는 그룹웨어 이메일 서버의 취약점을 노렸다. 이들은 지난해 2023년 4월부터 7월까지 방산 협력업체 D사 이메일서버에서 피해업체 기술자료를 빼냈다. D사의 이메일 서버는 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 다운로드 가능했다. 경찰에 따르면 이들 3개 조직으로부터 피해를 본 업체는 10여개에 이른 것으로 드러났다. 국수본 관계자는 "기존에 김수키는 정부기관 및 정치인, 라자루스는 금융기관, 안다리엘은 군과 국방기관 등을 주로 공격하도록 역할이 나뉜 걸로 알았으나 이번 수사를 통해 하나의 목적을 두고 비슷한 시기에 전방위적으로 공격했다는 사실이 확인됐다"고 말했다. 경찰 관계자는 "방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망된다"며 "방산업체 뿐만 아니라 협력업체에 대해서도 내외부망 분리, 이메일 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외IP 접속 차단 등의 보안 조치를 강화해 달라"고 당부했다. beruf@fnnews.com 이진혁 기자

[파이낸셜뉴스] 북한이 운영하는 해킹조직 3곳이 국내 방위산업체 10여곳의 자료를 빼내간 것으로 확인됐다. 경찰청 국가수사본부 안보수사국은 북한의 3개 해킹조직(라자루스·안다리엘·김수키)이 국내 방산기술 정보를 빼내기 위해 전방위 공격하고 있는 것을 확인해 보안조치를 취했다고 23일 밝혔다. 국가수사본부는 국가사이버위기관리단과 공조해 국내 방산기술 유출 사건을 수사해왔다. 경찰청은 이들이 공격에 사용한 IP주소와 경유지 구축 방법, 공격에 사용한 악성코드 등을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다. 이들은 회사 내·외부 망 연계시스템, 협력업체 보안, 그룹웨어 등의 취약점을 찾아내 회사 내부 정보를 빼내갔다. 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다. 일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것으로 드러났다. 라자루스는 지난 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드를 심었다. 이들은 악성코드를 이용해 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망을 장악, 컴퓨터 6대에서 자료를 빼냈다. 안다리엘은 방산 협력업체를 노렸다. 이들은 지난 2022년 10월경부터 협력업체인 B사 등을 원격 유지 보수하는 C사의 계정정보를 탈취해 B사에 악성코드를 설치한 후 서버에 저장된 자료를 훔쳤다. 김수키는 그룹웨어 이메일 서버의 취약점을 노렸다. 이들은 지난해 2023년 4월부터 7월까지 방산 협력업체 D사 이메일서버에서 피해업체 기술자료를 빼냈다. D사의 이메일 서버는 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 다운로드 가능했다. 경찰에 따르면 이들 3개 조직으로부터 피해를 본 업체는 10여개에 이른 것으로 드러났다. 국수본 관계자는 "기존에 김수키는 정부기관 및 정치인, 라자루스는 금융기관, 안다리엘은 군과 국방기관 등을 주로 공격하도록 역할이 나뉜 걸로 알았으나 이번 수사를 통해 하나의 목적을 두고 비슷한 시기에 전방위적으로 공격했다는 사실이 확인됐다"고 말했다. 경찰 관계자는 "방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망된다"며 "방산업체 뿐만 아니라 협력업체에 대해서도 내외부망 분리, 이메일 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외IP 접속 차단 등의 보안 조치를 강화해 달라"고 당부했다. beruf@fnnews.com 이진혁 기자

[파이낸셜뉴스] 윤석열 정부는 27일 북한 정찰총국 수장부터 실무자까지 전반을 대북 독자제재 대상에 추가했다. 정찰총국은 북한 핵·미사일 개발 자금을 충당하는 사이버 활동과 무기 거래 등을 맡고 있다. 이날 외교부에 따르면 정부는 리창호 북한 정찰총국장을 위시한 개인 8명을 제재 대상으로 지정했다. 윤석열 정부 들어 14번째, 올해만 12번째 독자제재다. 리창호 국장은 불법 사이버활동을 통한 외화 벌이와 기술 탈취를 통한 북한 핵·미사일 자금 조달에 관여했다. 구체적으로 이미 독자제재 대상에 올라있는 김수키·라자루스·안다리엘 등 해킹조직을 움직여 가상자산 탈취 등을 통해 외화를 벌고, 우리나라 등의 방위산업 기술을 탈취했다. 박영한 베이징 뉴테크놀로지 대표는 북한 무기수출회사인 조선광업개발무역회사(KOMID)를 대리해 무기 관련 물품을 거래했다. KOMID는 유엔 안보리(안전보장이사회)가 북한이 탄도미사일 관련 장비와 재래식 무기 수출의 주요 통로로 지목해 제재하고 있는 곳이다. 윤철 전 주중북한대사관 3등서기관은 핵 관련 광물로 유엔 대북 제재물자인 리튬-6 대북거래에 관여했다. 나머지 량수녀·김승수·배원철·리신성·김병철 등은 ‘판 시스템 평양’ 소속으로, 정찰총국 통제 하에 북한 무기와 관련 물품 거래를 하고 있다. 해당 회사는 마찬가지로 우리 정부가 독자제재 대상으로 지정한 곳으로, 위장회사인 군용 통신장비 판매사 글로콤은 윤석열 정부 들어 지난 9월 제재 대상에 올랐다. uknow@fnnews.com 김윤호 기자