북한 김수키 해커조직, 독일 방산업체 ‘딜 디펜스’ 해킹 공격해 정보 탈취
지난 2월 국정원과 독일 헌법보호청이 발표한 방산업체 해킹에 이어 또 발생
김수키, 전 세계 방산업체 해킹 확대 가능성 높아...보안 강화와 국제협력 필요성 커져
[보안뉴스 김경애 기자] 독일 방산업체 ‘딜 디펜스’가 북한 해커조직 김수키에게 해킹 공격을 받은 가운데, 사이버안보를 위한 방산업체의 보안강화 요구와 국제협력의 중요성이 갈수록 커지고 있다. 우리나라 K-방산 수요가 커지면서 전 세계적으로 수출이 확대되고 있는 반면, 기밀정보 탈취 목적으로 김수키 등 북한지원 해커조직의 공격이 확대되고 있기 때문이다.
[이미지=gettyimagesbank]
해킹 공격을 받은 딜 디펜스는 IRIS-T 단거리 공대공 미사일을 생산하고 있으며, 이 미사일은 한국형 전투기 KF-21과 말레이시아 수출용 경공격기인 FA-50에 장착되고 있다. 그런데 이를 노린 김수키가 정보탈취 목적으로 독일 방산업체 딜 디펜스를 공격한 것이다.
김수키는 미국 방산업체를 사칭해 일자리를 제공하겠다며 딜 디펜스 직원들에게 PDF 파일을 첨부한 메일을 전송해 접근한 것으로 드러났다. PDF 파일을 실행하면 악성코드가 설치되며, 정보가 탈취된다. 김수키는 이런 방식으로 단계를 밟으며, 딜 디펜스의 전산망 로그인 정보를 노린 것으로 파악됐다.
이에 독일의 헌법보호청(BfV)은 지난 9월 24일 김수키가 포함된 20여개 해킹조직을 공개했고, 지난 1일에는 북한의 IT 인력을 활용한 해킹 범죄를 다룬 ‘북한 IT 노동자’ 문서를 공개하는 등 북한의 해킹 공격에 주의를 당부했다.
하지만 북한 해커조직은 이미 오래 전부터 국내 방산업체와 협력업체를 노려 왔다. 최근에도 해킹 공격을 통해 방산관련 정보를 탈취한 바 있다. 이와 관련해 <보안뉴스>는 지난 8월 ‘북한, 김수키·안다리엘 등 해커조직 총동원...방산 기술정보 해킹 나섰다’라는 제목으로 중소 방산 협력업체 해킹 소식을 전한 바 있다. 이보다 앞서 지난 2월 19일에는 ‘한국·독일 정보기관, 북한의 방산기술 사이버위협에 경고’란 제목으로 국가정보원과 독일 헌법보호청이 북한의 방산 분야 사이버공격 피해를 예방하기 위해 합동 사이버보안 권고문 발표 소식을 전한 바 있다.
이렇듯 독일 등 방산업체 해킹 사건이 어제 오늘의 일이 아니라는 얘기다. 김수키는 독일 방산업체에 침투하기 위해 2020년 중반부터 사회공학적 공격수법을 사용했다. 이들은 당시에도 이번 사건과 수법이 유사하게 먼저 링크드인 등에 채용 담당자로 위장 가입해 방산업체 직원에게 접근했다. 대상자가 관심을 가질 만한 사소한 이야기를 나누며 친밀감을 쌓는 데 주력했다. 이후 북한 해커는 이직 상담을 핑계로 왓츠앱·텔레그램 등 다른 SNS로 유인하고, 일자리 제안 PDF 발송 등을 통해 악성코드 설치를 유도했다.
당시 한국과 독일 양 기관은 북한이 군사력 강화를 정권 우선순위에 두고 전 세계를 대상으로 방산 첨단기술 절취에 주력했다며, 절취 기술을 정찰위성·잠수함 등 전략무기 개발에 활용하고 있다고 판단했다.
이처럼 수년 전부터 독일 방산업체를 노려온 만큼 수출국가의 방산업체로 해킹 공격 범위가 확대됐을 가능성이 농후하다. 게다가 김수키와 북한의 IT 인력이 전 세계적으로 활동하고 있어 이들에 의한 해킹 공격도 확대되는 추세다. 이에 따라 방산업체의 보안 강화와 국제안보 차원에서 국제협력을 강화해야 한다는 목소리가 커지고 있다.
공격자 입장에서 위협요인 고려해 방어해야
하우리 김정수 보안대응센터장은 “‘국방’, ‘방산’과 관련해 직·간접적으로 연결된 모든 관계자는 공격 대상의 범위가 된다는 것을 보여준 사례로, 북한의 공격 대상은 명확하다”며 “북한 해킹조직의 입장에서 공격과 방어를 세밀하게 고려해 여러 공격 루트와 다양한 공격 방법을 선제적으로 예상해야 하고, 방어적 입장에서 최선의 대책을 수립해야 국가의 치명적인 사이버 피해를 예방할 수 있다”고 말했다.
이어 김 센터장은 “메일은 악성코드 유포의 상당한 비중을 차지하고 있는데, 스피어 피싱 메일의 첨부파일에 포함된 악성 PDF 파일 하나만으로도 국방 기밀정보가 고스란히 탈취되고 있다는 점과 북한 해킹조직이 스피어 피싱을 통해 빈번한 공격을 시도하고 있다는 점은 해결해야 할 과제”라며 “유출된 정보를 정확히 파악해 피해 최소화에 나서고 추후 동일한 사고가 재발되지 않도록 대책을 마련해야 한다”고 강조했다.
서울과학기술대학교 손기욱 교수는 “원하는 정보를 얻기 위해 타깃(해킹 대상)을 식별하고 타깃에 접근한 뒤 정보를 빼내기 위한 해킹 기술을 이용하는 전통적인 방법이 사용됐다”며 “공격자는 목적 달성에 필요한 대상을 각종 SNS, 블로그 등을 이용해 식별한 뒤, 악성코드가 포함된 이메일을 이용해 정보를 탈취하는 방식이 전형적인 수법”이라고 말했다.
이어 손 교수는 “이메일을 이용한 사이버공격은 오래 전부터 활용되어 주의를 기울이고 있지만, 공격자들에게는 경제적이고 효과적이기에 정교한 방식으로 공격 기술이 진화하고 있다”고 분석하며 BEC(Business E-mail Compromise) 대응이 중요한 이유를 설명했다.
S2W 김재기 센터장은 “최근 방산업체를 통한 공격이 잦아지는 편인 가운데, 대기업군의 방산업체는 보안이 잘 되어 있어 직접적인 타깃이 되지 않는 반면, 협력업체나 유관 방산업체가 타깃이 되고 있고, 실제 침해사고도 발생하고 있다”며 “협력업체나 유관업체도 보안을 강화해야 한다”고 당부했다.
사이버안보연구소 이진 소장은 “대기업의 하청기업이나 중소 방산기업들은 보안이 취약한 부분이 많다”며 “방산기업의 업무환경을 고려한 보안대책을 종합적이고 일관성 있게 가이드해줄 수 있는 유관 부처의 역할과 함께 방산기업의 보안 지원 측면에서 일례로 방산기업 전용 퍼블릭 클라우드 보안 서비스를 제공하는 것도 방안의 하나가 될 수 있을 것”이라고 말했다.
고려대학교(세종캠퍼스) 강정민 교수는 “북한의 사회공학적 공격에 대응하기 위해 현 상황을 꼼꼼히 점검하고, 필요한 조치들을 취해야 한다”며 “방산업체 내부 보안 강화, 인적 보안의식 제고, 적극적인 위협 인텔리전스 활용과 함께 국가 차원에서의 국제협력 강화도 필수”라고 말했다.
국가안보의 핵심 요소 방산, 종합적 대응과 국제협력 강화 필요
아주대학교 이원태 교수는 “이번 사건은 방산산업을 타깃으로 한 사이버 공격의 심각성을 보여준 사건”이라며 “K-방산의 국제적 수요 증가로 인해 한국 방산기술에 대한 관심이 높아지고 있는 가운데, 이는 경제적으로는 긍정적이지만, 동시에 북한과 같은 적대적 행위자들의 표적이 될 위험도 증대되고 있다”고 밝혔다.
이어 이 교수는 “방산기술 유출이 국제안보에 미치는 영향을 고려할 때, 한국과 독일 간의 사이버안보 협력처럼 더욱 광범위하고 체계적인 국제협력이 필요하고, 위협 정보 공유체계를 신속하게 구축해 유사 공격에 대한 예방 및 대응 능력을 높여야 한다”며 “이에 더해 법적·제도적 대응 측면에서 방산기술 유출에 대한 처벌을 강화하고, 방산업체의 사이버보안 기준을 높이는 등의 정책 대안도 필요하다”며 기술적·인적·제도적 측면을 모두 고려한 종합적인 대응과 함께 국제 공조를 강조했다.
국가안보전략연구원 김소정 연구위원은 “지난 9월 ‘CSK 2024’ 기조연설차 한국에 방문했던 BSI 총장은 북한의 사이버공격이 전 세계를 대상으로 확대되는 상황에서 특히 유럽은 이에 대한 준비가 되어 있지 않기에 한국과의 협력을 굉장히 중요시하고 있다”며 “또한 독일은 지난해부터 북한 관련 연구자들을 대상으로 한 피싱 메일이 증가함에 따라 슈피겔지가 올해 1월 관련 특집 보도를 하고, 한국 전문가들에게 상세내용에 대한 조언을 구한 바 있다”고 설명했다.
김 연구위원은 “사이버안보 분야에서 국제협력은 단순한 역량 강화나 교육 등으로 치부될 수 없는 중요한 분야로, 다양한 위협원을 식별하고 적극적으로 대응하는 데 중요한 역할을 할 수밖에 없다”며 “특히 사이버안보 분야 국제협력 강화는 단순한 외교 문제가 아닌 국가안보 차원의 활동이어야 한다는 점을 명심해야 한다”고 말했다.
한국이 지난 2~3년간 미국을 중심으로 한 동맹국들과의 사이버안보 협력을 강화하며, 국제협력의 기틀을 마련했다면, 앞으로는 좀더 구체성과 목적성을 갖고 협력을 강화시킬 수 있도록 노력해야 한다는 것이다.
김소정 연구위원은 “한국의 국가 사이버안보 전략과 인태 전략을 기반으로 사이버분야 국제협력을 공고히할 수 있는 방안을 대통령실을 중심으로 다층적으로 고민해야 한다”며 “전문성을 강화하고 인력·예산·조직 측면의 지원을 강화해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
지난 2월 국정원과 독일 헌법보호청이 발표한 방산업체 해킹에 이어 또 발생
김수키, 전 세계 방산업체 해킹 확대 가능성 높아...보안 강화와 국제협력 필요성 커져
[보안뉴스 김경애 기자] 독일 방산업체 ‘딜 디펜스’가 북한 해커조직 김수키에게 해킹 공격을 받은 가운데, 사이버안보를 위한 방산업체의 보안강화 요구와 국제협력의 중요성이 갈수록 커지고 있다. 우리나라 K-방산 수요가 커지면서 전 세계적으로 수출이 확대되고 있는 반면, 기밀정보 탈취 목적으로 김수키 등 북한지원 해커조직의 공격이 확대되고 있기 때문이다.
[이미지=gettyimagesbank]
해킹 공격을 받은 딜 디펜스는 IRIS-T 단거리 공대공 미사일을 생산하고 있으며, 이 미사일은 한국형 전투기 KF-21과 말레이시아 수출용 경공격기인 FA-50에 장착되고 있다. 그런데 이를 노린 김수키가 정보탈취 목적으로 독일 방산업체 딜 디펜스를 공격한 것이다.
김수키는 미국 방산업체를 사칭해 일자리를 제공하겠다며 딜 디펜스 직원들에게 PDF 파일을 첨부한 메일을 전송해 접근한 것으로 드러났다. PDF 파일을 실행하면 악성코드가 설치되며, 정보가 탈취된다. 김수키는 이런 방식으로 단계를 밟으며, 딜 디펜스의 전산망 로그인 정보를 노린 것으로 파악됐다.
이에 독일의 헌법보호청(BfV)은 지난 9월 24일 김수키가 포함된 20여개 해킹조직을 공개했고, 지난 1일에는 북한의 IT 인력을 활용한 해킹 범죄를 다룬 ‘북한 IT 노동자’ 문서를 공개하는 등 북한의 해킹 공격에 주의를 당부했다.
하지만 북한 해커조직은 이미 오래 전부터 국내 방산업체와 협력업체를 노려 왔다. 최근에도 해킹 공격을 통해 방산관련 정보를 탈취한 바 있다. 이와 관련해 <보안뉴스>는 지난 8월 ‘북한, 김수키·안다리엘 등 해커조직 총동원...방산 기술정보 해킹 나섰다’라는 제목으로 중소 방산 협력업체 해킹 소식을 전한 바 있다. 이보다 앞서 지난 2월 19일에는 ‘한국·독일 정보기관, 북한의 방산기술 사이버위협에 경고’란 제목으로 국가정보원과 독일 헌법보호청이 북한의 방산 분야 사이버공격 피해를 예방하기 위해 합동 사이버보안 권고문 발표 소식을 전한 바 있다.
이렇듯 독일 등 방산업체 해킹 사건이 어제 오늘의 일이 아니라는 얘기다. 김수키는 독일 방산업체에 침투하기 위해 2020년 중반부터 사회공학적 공격수법을 사용했다. 이들은 당시에도 이번 사건과 수법이 유사하게 먼저 링크드인 등에 채용 담당자로 위장 가입해 방산업체 직원에게 접근했다. 대상자가 관심을 가질 만한 사소한 이야기를 나누며 친밀감을 쌓는 데 주력했다. 이후 북한 해커는 이직 상담을 핑계로 왓츠앱·텔레그램 등 다른 SNS로 유인하고, 일자리 제안 PDF 발송 등을 통해 악성코드 설치를 유도했다.
당시 한국과 독일 양 기관은 북한이 군사력 강화를 정권 우선순위에 두고 전 세계를 대상으로 방산 첨단기술 절취에 주력했다며, 절취 기술을 정찰위성·잠수함 등 전략무기 개발에 활용하고 있다고 판단했다.
이처럼 수년 전부터 독일 방산업체를 노려온 만큼 수출국가의 방산업체로 해킹 공격 범위가 확대됐을 가능성이 농후하다. 게다가 김수키와 북한의 IT 인력이 전 세계적으로 활동하고 있어 이들에 의한 해킹 공격도 확대되는 추세다. 이에 따라 방산업체의 보안 강화와 국제안보 차원에서 국제협력을 강화해야 한다는 목소리가 커지고 있다.
공격자 입장에서 위협요인 고려해 방어해야
하우리 김정수 보안대응센터장은 “‘국방’, ‘방산’과 관련해 직·간접적으로 연결된 모든 관계자는 공격 대상의 범위가 된다는 것을 보여준 사례로, 북한의 공격 대상은 명확하다”며 “북한 해킹조직의 입장에서 공격과 방어를 세밀하게 고려해 여러 공격 루트와 다양한 공격 방법을 선제적으로 예상해야 하고, 방어적 입장에서 최선의 대책을 수립해야 국가의 치명적인 사이버 피해를 예방할 수 있다”고 말했다.
이어 김 센터장은 “메일은 악성코드 유포의 상당한 비중을 차지하고 있는데, 스피어 피싱 메일의 첨부파일에 포함된 악성 PDF 파일 하나만으로도 국방 기밀정보가 고스란히 탈취되고 있다는 점과 북한 해킹조직이 스피어 피싱을 통해 빈번한 공격을 시도하고 있다는 점은 해결해야 할 과제”라며 “유출된 정보를 정확히 파악해 피해 최소화에 나서고 추후 동일한 사고가 재발되지 않도록 대책을 마련해야 한다”고 강조했다.
서울과학기술대학교 손기욱 교수는 “원하는 정보를 얻기 위해 타깃(해킹 대상)을 식별하고 타깃에 접근한 뒤 정보를 빼내기 위한 해킹 기술을 이용하는 전통적인 방법이 사용됐다”며 “공격자는 목적 달성에 필요한 대상을 각종 SNS, 블로그 등을 이용해 식별한 뒤, 악성코드가 포함된 이메일을 이용해 정보를 탈취하는 방식이 전형적인 수법”이라고 말했다.
이어 손 교수는 “이메일을 이용한 사이버공격은 오래 전부터 활용되어 주의를 기울이고 있지만, 공격자들에게는 경제적이고 효과적이기에 정교한 방식으로 공격 기술이 진화하고 있다”고 분석하며 BEC(Business E-mail Compromise) 대응이 중요한 이유를 설명했다.
S2W 김재기 센터장은 “최근 방산업체를 통한 공격이 잦아지는 편인 가운데, 대기업군의 방산업체는 보안이 잘 되어 있어 직접적인 타깃이 되지 않는 반면, 협력업체나 유관 방산업체가 타깃이 되고 있고, 실제 침해사고도 발생하고 있다”며 “협력업체나 유관업체도 보안을 강화해야 한다”고 당부했다.
사이버안보연구소 이진 소장은 “대기업의 하청기업이나 중소 방산기업들은 보안이 취약한 부분이 많다”며 “방산기업의 업무환경을 고려한 보안대책을 종합적이고 일관성 있게 가이드해줄 수 있는 유관 부처의 역할과 함께 방산기업의 보안 지원 측면에서 일례로 방산기업 전용 퍼블릭 클라우드 보안 서비스를 제공하는 것도 방안의 하나가 될 수 있을 것”이라고 말했다.
고려대학교(세종캠퍼스) 강정민 교수는 “북한의 사회공학적 공격에 대응하기 위해 현 상황을 꼼꼼히 점검하고, 필요한 조치들을 취해야 한다”며 “방산업체 내부 보안 강화, 인적 보안의식 제고, 적극적인 위협 인텔리전스 활용과 함께 국가 차원에서의 국제협력 강화도 필수”라고 말했다.
국가안보의 핵심 요소 방산, 종합적 대응과 국제협력 강화 필요
아주대학교 이원태 교수는 “이번 사건은 방산산업을 타깃으로 한 사이버 공격의 심각성을 보여준 사건”이라며 “K-방산의 국제적 수요 증가로 인해 한국 방산기술에 대한 관심이 높아지고 있는 가운데, 이는 경제적으로는 긍정적이지만, 동시에 북한과 같은 적대적 행위자들의 표적이 될 위험도 증대되고 있다”고 밝혔다.
이어 이 교수는 “방산기술 유출이 국제안보에 미치는 영향을 고려할 때, 한국과 독일 간의 사이버안보 협력처럼 더욱 광범위하고 체계적인 국제협력이 필요하고, 위협 정보 공유체계를 신속하게 구축해 유사 공격에 대한 예방 및 대응 능력을 높여야 한다”며 “이에 더해 법적·제도적 대응 측면에서 방산기술 유출에 대한 처벌을 강화하고, 방산업체의 사이버보안 기준을 높이는 등의 정책 대안도 필요하다”며 기술적·인적·제도적 측면을 모두 고려한 종합적인 대응과 함께 국제 공조를 강조했다.
국가안보전략연구원 김소정 연구위원은 “지난 9월 ‘CSK 2024’ 기조연설차 한국에 방문했던 BSI 총장은 북한의 사이버공격이 전 세계를 대상으로 확대되는 상황에서 특히 유럽은 이에 대한 준비가 되어 있지 않기에 한국과의 협력을 굉장히 중요시하고 있다”며 “또한 독일은 지난해부터 북한 관련 연구자들을 대상으로 한 피싱 메일이 증가함에 따라 슈피겔지가 올해 1월 관련 특집 보도를 하고, 한국 전문가들에게 상세내용에 대한 조언을 구한 바 있다”고 설명했다.
김 연구위원은 “사이버안보 분야에서 국제협력은 단순한 역량 강화나 교육 등으로 치부될 수 없는 중요한 분야로, 다양한 위협원을 식별하고 적극적으로 대응하는 데 중요한 역할을 할 수밖에 없다”며 “특히 사이버안보 분야 국제협력 강화는 단순한 외교 문제가 아닌 국가안보 차원의 활동이어야 한다는 점을 명심해야 한다”고 말했다.
한국이 지난 2~3년간 미국을 중심으로 한 동맹국들과의 사이버안보 협력을 강화하며, 국제협력의 기틀을 마련했다면, 앞으로는 좀더 구체성과 목적성을 갖고 협력을 강화시킬 수 있도록 노력해야 한다는 것이다.
김소정 연구위원은 “한국의 국가 사이버안보 전략과 인태 전략을 기반으로 사이버분야 국제협력을 공고히할 수 있는 방안을 대통령실을 중심으로 다층적으로 고민해야 한다”며 “전문성을 강화하고 인력·예산·조직 측면의 지원을 강화해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
