북 해킹조직 라자루스·안다리엘·김수키 모두 방산기술 노려
경찰청·방위사업청 등 관계기관 합동 특별점검 통해 방산업체 해킹 공격 사실 드러나
전자우편 비밀번호 주기적 변경, 미인가 IP 접속 차단 등 보안 조치 강화 당부
[보안뉴스 김경애 기자] 북한의 해커조직 3곳인 라자루스, 안다리엘, 김수키가 국내 방산기업을 타깃으로 사이버 공격을 수행한 것으로 드러났다.
[이미지=gettyimagesbank]
경찰청에 따르면 “북한 해커조직은 방산기술 자료를 훔치기 위해 사이버 공격을 수행했다”며 “국내 방산업체 총 83곳 중 10여 곳이 해킹 당했다”고 밝혔다.
자료유출 시점은 약 1년 6개월전 경으로 확인됐으며, 방산기술 자료 유출을 목표로 3개 해커조직이 모두 동원돼 공격한 사실이 드러났다.
사건이 드러난 경위는 2024년 1월 15일부터 2월 16일까지 진행된 경찰청, 방위사업청, 국가정보원 등 관계기관 합동특별점검을 통해 드러났다. 이 과정에서 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다.
이번 사건을 통해 북한 해킹조직이 방산기술 탈취라는 공동의 목표를 설정해 다수의 해킹조직을 투입하는 총력전 형태로 공격을 진행하는 등 공격 수법은 더욱 치밀하고 광범위하게 진행되고 있는 것으로 확인됐다.
라자루스 해킹조직
라자루스 해킹조직의 경우 피해 업체가 내부망과 외부 인터넷망을 분리 운영했지만, 망 연계 시스템의 관리 소홀을 틈타 내부망으로 침입했다. 북한 해킹조직은 2022년 11월부터 ‘가’ 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했다. 개발팀 직원 컴퓨터 등 내부망의 중요자료를 수집해 국외 클라우드 서버로 자료를 빼돌렸다. 내부망 컴퓨터 6대에서 자료가 유출된 사실이 확인됐으며, 피해업체와 국외 클라우드 서버 등 분석을 통해 유출된 자료의 흔적이 확인됐다.
▲라자루스 해킹조직 공격 흐름도[자료=경찰청]
안다리엘 해킹조직
방산 협력업체의 서버를 유지 보수하는 업체 직원이 사용하는 계정을 탈취해 악성코드를 감염시켜 방산 자료를 유출했다. 이들은 2022년 10월경부터 ‘나’ 방산 협력업체 등을 원격으로 유지 보수하는 ‘다’ 업체의 계정정보를 탈취해 ‘나’ 방산 협력업체 등에 악성코드를 설치했고 이 과정에서 감염된 서버에 저장된 방산기술 자료가 유출됐다. 이는 ‘다’ 업체 직원의 개인 상용 메일(네이버, 카카오 등) 계정정보를 탈취하고 사내 메일로 접속해 메일 송수신 자료를 탈취했다. 일부 직원들이 상용 메일 계정과 사내 업무시스템 계정(아이디와 비밀번호)을 같이 사용하는 허점을 악용했다.
▲안다리엘 해킹조직 공격 흐름도[자료=경찰청]
김수키 해킹조직
사내에서 사용하는 그룹웨어 메일 서버의 취약점(로그인 없이 외부에서 메일로 송수신한 대용량 파일을 다운로드 가능)을 악용했다.
북한 해킹조직은 2023년 4월부터 7월까지 ‘라’ 방산 협력업체 메일 서버에서 로그인 없이 외부에서 메일로 송수신한 대용량 파일을 다운로드 가능한 취약점을 악용하여 피해업체의 기술자료를 탈취했다.
▲김수키 해킹조직 공격 흐름도[자료=경찰청]
이처럼 피해기업은 방산기업을 비롯해 협력업체, 유지보수 업체 등이며, 북한 해킹조직은 국내 방산기술 자료를 목적으로 총력을 기울여 사이버 공격을 수행했다.
경찰청과 국가사이버위기관리단이 공조 수사한 결과에 따르면 북한 해킹조직 소행 근거로 2014년 한국수력원자력 해킹 공격 때 사용된 IP와 동일한 점, 북한 해커조직이 주로 사용하는 NukNukesped, Tiger RAT 종류중의 특정 악성코드를 사용한 점, SW 취약점 이용해 경유지 서버 구축 방식, 북한이 주로 사용하는 보안인증 취약점 공격 방식, 자체 수사, 유관기관 첩보 등을 꼽았다.
이슈메이커스랩 최상명 대표는 “북한의 남한 방산업체를 노린 공격은 2003년부터 현재까지 20년이 넘는 기간 동안 끊임없이 지속적으로 감행되고 있다”며 “그들의 제1목표는 여전히 국방 분야와 방산 분야 해킹을 통한 군사적 정보 수집으로, 사실상 모든 방산업체가 북한 해커조직의 타깃인 만큼 방산업체들의 보안에 대한 관심과 투자가 더욱 요구된다”고 말했다.
경찰청 관계자는 “이번 사건은 2022년 1분기에 방산 업체 등 약 47개의 기업 및 기관이 라자루스 그룹에서 유포 중인 악성코드에 감염된 이슈와 2023년 10월 라자루스 조직의 보안인증 취약점을 이용한 공격 이슈의 연장선상”이라며, “이번은 중간 수사발표로 이번 수사를 통해 추가로 밝혀진 사안들에 대해서는 지속적으로 수사를 이어갈 계획”이라고 말했다.
피해 예방 조치와 관련해 경찰청은 “방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 우려돼 방산업체 뿐만 아니라 협력업체에 대해서도 내외부망 분리, 메일 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외 IP 접속 차단 등의 보안 조치를 강화해 달라”고 당부했다.
아울러 “경찰청은 앞으로도 북한 등 국가배후 해킹조직의 추적 수사를 지속하는 한편, 사이버 공격 동향과 대응 사례를 방위사업청, 국가사이버위기관리단 등 관계기관과 적극적으로 공유해 국가안보 위협에 선제적으로 대응할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
경찰청·방위사업청 등 관계기관 합동 특별점검 통해 방산업체 해킹 공격 사실 드러나
전자우편 비밀번호 주기적 변경, 미인가 IP 접속 차단 등 보안 조치 강화 당부
[보안뉴스 김경애 기자] 북한의 해커조직 3곳인 라자루스, 안다리엘, 김수키가 국내 방산기업을 타깃으로 사이버 공격을 수행한 것으로 드러났다.
[이미지=gettyimagesbank]
경찰청에 따르면 “북한 해커조직은 방산기술 자료를 훔치기 위해 사이버 공격을 수행했다”며 “국내 방산업체 총 83곳 중 10여 곳이 해킹 당했다”고 밝혔다.
자료유출 시점은 약 1년 6개월전 경으로 확인됐으며, 방산기술 자료 유출을 목표로 3개 해커조직이 모두 동원돼 공격한 사실이 드러났다.
사건이 드러난 경위는 2024년 1월 15일부터 2월 16일까지 진행된 경찰청, 방위사업청, 국가정보원 등 관계기관 합동특별점검을 통해 드러났다. 이 과정에서 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다.
이번 사건을 통해 북한 해킹조직이 방산기술 탈취라는 공동의 목표를 설정해 다수의 해킹조직을 투입하는 총력전 형태로 공격을 진행하는 등 공격 수법은 더욱 치밀하고 광범위하게 진행되고 있는 것으로 확인됐다.
라자루스 해킹조직
라자루스 해킹조직의 경우 피해 업체가 내부망과 외부 인터넷망을 분리 운영했지만, 망 연계 시스템의 관리 소홀을 틈타 내부망으로 침입했다. 북한 해킹조직은 2022년 11월부터 ‘가’ 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했다. 개발팀 직원 컴퓨터 등 내부망의 중요자료를 수집해 국외 클라우드 서버로 자료를 빼돌렸다. 내부망 컴퓨터 6대에서 자료가 유출된 사실이 확인됐으며, 피해업체와 국외 클라우드 서버 등 분석을 통해 유출된 자료의 흔적이 확인됐다.
▲라자루스 해킹조직 공격 흐름도[자료=경찰청]
안다리엘 해킹조직
방산 협력업체의 서버를 유지 보수하는 업체 직원이 사용하는 계정을 탈취해 악성코드를 감염시켜 방산 자료를 유출했다. 이들은 2022년 10월경부터 ‘나’ 방산 협력업체 등을 원격으로 유지 보수하는 ‘다’ 업체의 계정정보를 탈취해 ‘나’ 방산 협력업체 등에 악성코드를 설치했고 이 과정에서 감염된 서버에 저장된 방산기술 자료가 유출됐다. 이는 ‘다’ 업체 직원의 개인 상용 메일(네이버, 카카오 등) 계정정보를 탈취하고 사내 메일로 접속해 메일 송수신 자료를 탈취했다. 일부 직원들이 상용 메일 계정과 사내 업무시스템 계정(아이디와 비밀번호)을 같이 사용하는 허점을 악용했다.
▲안다리엘 해킹조직 공격 흐름도[자료=경찰청]
김수키 해킹조직
사내에서 사용하는 그룹웨어 메일 서버의 취약점(로그인 없이 외부에서 메일로 송수신한 대용량 파일을 다운로드 가능)을 악용했다.
북한 해킹조직은 2023년 4월부터 7월까지 ‘라’ 방산 협력업체 메일 서버에서 로그인 없이 외부에서 메일로 송수신한 대용량 파일을 다운로드 가능한 취약점을 악용하여 피해업체의 기술자료를 탈취했다.
▲김수키 해킹조직 공격 흐름도[자료=경찰청]
이처럼 피해기업은 방산기업을 비롯해 협력업체, 유지보수 업체 등이며, 북한 해킹조직은 국내 방산기술 자료를 목적으로 총력을 기울여 사이버 공격을 수행했다.
경찰청과 국가사이버위기관리단이 공조 수사한 결과에 따르면 북한 해킹조직 소행 근거로 2014년 한국수력원자력 해킹 공격 때 사용된 IP와 동일한 점, 북한 해커조직이 주로 사용하는 NukNukesped, Tiger RAT 종류중의 특정 악성코드를 사용한 점, SW 취약점 이용해 경유지 서버 구축 방식, 북한이 주로 사용하는 보안인증 취약점 공격 방식, 자체 수사, 유관기관 첩보 등을 꼽았다.
이슈메이커스랩 최상명 대표는 “북한의 남한 방산업체를 노린 공격은 2003년부터 현재까지 20년이 넘는 기간 동안 끊임없이 지속적으로 감행되고 있다”며 “그들의 제1목표는 여전히 국방 분야와 방산 분야 해킹을 통한 군사적 정보 수집으로, 사실상 모든 방산업체가 북한 해커조직의 타깃인 만큼 방산업체들의 보안에 대한 관심과 투자가 더욱 요구된다”고 말했다.
경찰청 관계자는 “이번 사건은 2022년 1분기에 방산 업체 등 약 47개의 기업 및 기관이 라자루스 그룹에서 유포 중인 악성코드에 감염된 이슈와 2023년 10월 라자루스 조직의 보안인증 취약점을 이용한 공격 이슈의 연장선상”이라며, “이번은 중간 수사발표로 이번 수사를 통해 추가로 밝혀진 사안들에 대해서는 지속적으로 수사를 이어갈 계획”이라고 말했다.
피해 예방 조치와 관련해 경찰청은 “방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 우려돼 방산업체 뿐만 아니라 협력업체에 대해서도 내외부망 분리, 메일 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외 IP 접속 차단 등의 보안 조치를 강화해 달라”고 당부했다.
아울러 “경찰청은 앞으로도 북한 등 국가배후 해킹조직의 추적 수사를 지속하는 한편, 사이버 공격 동향과 대응 사례를 방위사업청, 국가사이버위기관리단 등 관계기관과 적극적으로 공유해 국가안보 위협에 선제적으로 대응할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
