국가정보원은 독일 헌법보호청(BfV)과 북한의 방산 분야 사이버공격 피해를 예방하기 위한 합동 사이버보안 권고문을 19일 발표했다.
합동 권고문은 북한의 방산 해킹 사례들과 관련해 공격 전략·기술·절차(TTPs) 등을 분석해 공격 주체와 공격 수법을 소개했다. 지난해 3월 '킴수키 해킹조직의 구글서비스 악용공격' 발표에 이은 두 번째 합동 권고문이다.
권고문에 따르면 북한은 홈페이지 유지보수업체를 통해 방산기관에 우회 침투했다. 보안이 취약한 유지보수업체를 먼저 해킹해 서버 계정 정보를 절취한 후 기관 서버 등에 무단 침투해 전 직원을 대상으로 악성코드 유포를 시도하는 방식이다.
지난 2022년말 이뤄진 공격에서는 북한의 악성코드 배포 전 공격 사실 발각됐다. 그러나 해킹조직은 다시 직원들에게 스피어피싱 이메일을 발송하는 등 추가 공격을 시도했다.
국정원은 "북한 해킹조직은 코로나로 원격 유지·보수가 허용된 상황을 틈타 유지보수업체를 이용해 내부서버 침투를 많이 시도했다"고 설명했다.
북한은 구인업체 관계자를 위장한 뒤 방산업체 직원 해킹을 시도하기도 했다. 북한 해킹조직 라자루스는 방산업체에 침투하기 위해 2020년 중반부터 사회공학적 공격수법을 사용해온 것으로 파악된다고 국정원은 밝혔다.
국정원과 독일 헌법보호청은 북한이 군사력 강화를 정권 우선순위에 두고 전 세계를 대상으로 방산 첨단기술 절취에 주력하면서 절취 기술을 정찰위성·잠수함 등 전략무기를 개발하는 데 활용하고 있다고 지적했다.
합동 권고문의 자세한 내용과 피해 예방법은 국정원 국가사이버안보센터 홈페이지에서 확인할 수 있다.
국정원 관계자는 "이번 권고문 발표는 양국이 북한의 전 세계 대상 방산기술 절취를 좌시하지 않겠다는 의지를 보여준 것"이라면서 "앞으로도 북에 대응해 안전한 사이버 공간을 만드는데 힘을 합칠 것"이라고 했다.