북한이 국내 다수의 대기업에서 사용하고 있는 기업 PC관리시스템(M사 제품)의 취약점을 발견하고, 이를 사용 중인 A, B 그룹사 전산망을 지난 2014년 7월부터 해킹해 전산망 통제권 및 문서를 탈취한 후 전산망 마비 공격 등을 준비해 온 사실이 경찰청 사이버안전국 수사를 통해 확인됐다. 경찰이 복구해 확인한 문서만 42,608건에 달한다.
 
경찰청 사이버안전국(사이버수사과)은 과거 발생했던 사이버테러사건을 분석해 북한이 핵실험 직후 대규모 사이버테러를 일으켜 온 경향을 인지하고, 지난 1월 북한의 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위해 사전 탐지 활동을 진행하던 중, 2월 북에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수해 수사에 착수했다.

 
사이버수사과 관계자는 “수사기간 동안 33종의 북한 악성코드를 확보, 분석하고, 16대의 공격서버를 확인했으며, 북한이 피해그룹사의 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서4만2천608개를 복원했다”며 “이 과정에서 지난 2013년 ‘3.20 방송, 금융 전산망 사이버테러’의 공격 아이피와 동일한 북한 평양 류경동 소재 아이피에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이루어진 사실을 확인했다”고 밝혔다.
 
또 “북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작했으며, 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용한 사실도 확인했다”고 덧붙였다.
 
이번 북한 해킹에 사용된 기업 피시관리시스템(M사 제품)의 경우, 관리자 권한이 없어도, 원격 접속해 임의로 파일배포, 원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었으나, 해당 업체에서는 이러한 취약점을 인지하지 못한 상태였다고 경찰 측은 전했다.

 
경찰은 수사 초기에 이러한 취약점을 발견하고, 해당 제품을 제작한 M사와 이를 사용하고 있던 160여 개 기관, 업체 및 피해 그룹에 즉시 통보해 취약점을 보완토록 조치하였고, 각 피해 그룹사, 유관기관 등과 공동 대응팀을 구성해 신속하게 피해를 복구하면서 추가 공격의 여지를 차단했다.
 
더불어, 북한이 이번 범행에 이용한 공격서버에 대한 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 북이 탈취해 간 문서 42,608건을 확인했다. 유출된 문서는 방위산업 관련 정보 등 4만187건, 통신설비 등 관련 자료 2천421건 등이다.
 
경찰은 유출 문서에 대한 정보를 피해그룹사와 관계당국에 통보해 추가 피해방지 조치 및 적절한 후속 조치를 취하도록 요청했다.
 
북한은 국가적 규모의 사이버테러를 시도하기 위해 장기간 사전 준비 작업을 하고 있다는 사실이 드러났다. 일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버, 피시통제권을 탈취한 상태에서도 즉시 공격하지 않고, 이를 은닉시켜 둔 채, 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해 온 사실이 확인된 것이다.
 
이는 북한이 다수의 사이버테러 대상을 폭넓게 확보한 후 동시에 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업, 군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다.
 
또한 A, B그룹사의 많은 자료 중 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 중심으로 탈취한 사실도 확인되었다.
 
경찰청 사이버안전국은 “국가 기간사업이나 군 관련 사업을 맡고 있는 대기업이 사이버테러의 표적이 될 경우, 그 피해가 해당 기업에만 미치지 않는다는 점을 감안할 때, 시스템 보안이 강화되도록 관련 정보를 제공했다”며 “북의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고, 앞으로도 주요 공공기관 및 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력해 나갈 계획”이라고 강조했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com