한국항공우주(047810)산업(KAI)과 대우조선해양 등 국내 방산업체가 해킹 등 사이버공격 위협에 노출된 정황이 잇달아 포착되는 가운데 유력한 용의자로 꼽히는 북한 해킹 그룹에 대해 관심이 쏠리고 있다.
3일 국회 정보위원회·방산업계 등에 따르면 최근 내부 전산망 등을 겨냥한 외부로부터의 해킹 시도가 있었던 것으로 파악된 곳은 현재까지 KAI와 대우조선해양, 한국원자력연구원 등 최소 3곳으로 파악됐다. 대우조선해양은 잠수함 등 각종 함정을, KAI는 한국형 전투기 KF-21 보라매 등 다양한 무기체계를 개발하고 있다.
해킹 시도는 지난해 말부터 올해 상반기 사이 이뤄진 것으로 조사됐다. KAI의 경우 올해 들어 지난 3월과 5월 등 적어도 두 차례 해킹을 당한 것으로 알려졌는데, 현재 파악된 건들 외에도 추가 해킹이 시도됐을 것이란 관측이 나온다. 사이버공격 위협은 과거에도 있었지만, 최근 코로나19 팬데믹(세계적 대유행)으로 온라인 업무가 늘면서 해킹 등에 대한 우려는 더욱 커지고 있다.
전문가들은 이들 업체·기관에 대한 일련의 해킹 시도의 범인으로 북한을 유력하게 꼽고 있다. 국정원에 따르면 국내 공공기관이 받는 사이버 공격은 하루 평균 160만건으로, 이 중 90% 이상이 북한 소행으로 추정된다. 국회 정보위원회 소속 국민의힘 하태경 의원은 지난달 한국원자력연구원 해킹 배후를 북한군 정찰총국과 연계된 것으로 알려진 해킹 조직 ‘김수키(Kimsuky)’로 지목하기도 했다.
미국 사이버보안업체 ‘파이어아이(FireEye)’도 KAI 해킹의 배후로 북한 해커조직 ‘안다리엘(Andariel)’을 지목했다. 프레드 플랜 위협정보 선임분석관은 지난달 자유아시아방송(RFA)과의 인터뷰에서 “6월 초부터 한국의 국방·우주분야 업체들에 대한 사이버공격 활동을 인지하고 있었다”며 이같이 말했다. 다만 방위사업청 등 관계당국은 점검 및 조사를 진행 중이라는 이유로 배후에 관해 함구하고 있는 상태다.
하태경 의원이 최근 한국원자력연구원과 KAI 등을 해킹한 주범으로 거론한 ‘김수키’는 가장 활발하게 활동하고 있는 북한 해킹 조직이다. 주로 한국·일본·미국을 대상으로 국내 외교정책·국가안보 기밀 등 글로벌 정보 수집 임무를 수행하는 것으로 알려져 있다. 원자력발전 도면이 유출된 2014년 한국수력원자력 해킹 사건의 주범이기도 하다. 이들은 이메일에 악성코드를 심거나, 합법적 웹사이트를 미리 감염시킨 뒤 피해자의 컴퓨터에 악성코드를 추가로 설치하는 방식을 주로 이용한다.
KAI 해킹 배후로 지목된 ‘안다리엘’은 해외 기업과 정부 기관, 방산 관련 업체 등을 타깃으로 삼아 군사 정보 탈취에 특화돼 있다. 2016년 국방통합데이터센터(DIDC)에 몰래 접속해 한반도 유사시 한미의 작전계획 ‘작계 5015’를 훔쳐간 곳도 안다리엘로 전해졌다. 미 재무부는 안다리엘을 지난 2019년 9월 ‘라자루스(Lazarus)’ 등 다른 북한 해커 조직들과 함께 특별제재 대상으로 지정했다.
2009년 ‘트로이 작전(Operation Troy)’으로 유명한 라자루스는 2015년 이후에는 금전적 수익을 목적으로 공격 범위를 넓히고 있다. 트로이 작전은 우리 정부와 군의 컴퓨터를 감염시킨 뒤, ‘미군’, ‘비밀’, ‘합참’ 등을 검색해 군사기밀을 빼내 간 사건을 말한다. 최근에는 전 세계 은행과 암호화폐 거래소 등을 공격해 현금성 자산과 암호화폐, 민감 정보 등을 갈취하는 것으로 악명이 높다.
북한 사이버 공격의 가장 큰 특징은 해커 양성부터 공격 그룹 지원까지 모두 정부 주도하에 체계적으로 이뤄진다는 점이다. 북한은 해커를 대부분 정찰총국 산하 사이버전지도국 산하 군 인력으로 운영하는 것으로 알려졌다. 현재 보유하고 있는 사이버전 인력은 적어도 6800여명으로, 2013년(3000명)에 비해 두 배 이상 늘었다.