KF-X개발 방산업체 해킹, 北 소행 유력

기무사 “중국 등 여러 국가 거쳐 발신자 IP 확인 안돼”

사이버안보 전문가 “북한의 해킹 수법과 유사한 것으로 추정”

북한전략센터와 겨레얼통일연대가 지난달 25일 기자회견을 갖고 북한의 해킹전사를 양성하는 사이버테러의 온상인 평양 과학기술대학에 대한 대북지원을 중단해야 한다고 주장하고 있다. 북한전략센터제공

지난달 악성코드를 심은 메일을 국내 방위산업체에 발송해 해킹을 시도한 세력으로 북한이 유력하게 지목됐다. 국군기무사령부는 해킹세력이 기존에 전혀 노출되지 않은 해외 IP주소를 이용해 범행을 저지른 것으로 결론지었지만 정확한 발신자를 규명하는 데는 실패했다.(본보 11월 14일자 1면, 11월 19일자 10면)

정부 관계자는 1일 “조사결과 문제의 악성메일은 중국을 비롯한 여러 국가를 경유해 국내에 발송된 것으로 파악됐다”며 “한 곳이 아니라 해외의 여러 곳에서 국내로 들어온 점이 특이하다”고 밝혔다. 중국에서 곧바로 한국으로 해킹을 시도할 경우 발신지가 추적당할 수 있기 때문에 침투경로를 복잡하게 하는 세탁과정을 거쳤다는 것이다. 이 관계자는 “해킹세력은 과거 국내 정부기관이나 업체를 대상으로 한 해킹에 사용되지 않은 새로운 IP를 사용한 것으로 드러났다”며 “사이버 공격의 특성상 해킹의 실체를 특정하기는 곤란하다”고 덧붙였다.

전문가들은 이번 해킹이 북한의 전형적인 수법인 지능형타깃지속공격(APT)이라고 분석하고 있다. 국방부 등 정부기관을 목표로 정해놓고 보안수준이 낮은 관련 업체를 먼저 감염시킨 뒤 서로간에 메일이나 파일이 오갈 때 정부 보안망에 침투하는 방식이다. 평소에는 바이러스가 숨겨져 있다가 특정시간이나 지시를 내릴 경우 공격이 시작된다. 박대우 국가사이버안보정책포럼 사무총장은 “이번 공격은 북한의 해킹수법과 유사한 것으로 추정된다”고 말했다.

앞서 지난달 초 서울 국제항공우주 및 방위산업전시회(ADEX) 운영본부 명의로 참가업체들에 한글메일이 발송돼 한국형전투기(KF-X)의 핵심장비인 다기능위상배열(AESA) 레이더(사진)를 개발하는 LIG넥스원을 비롯한 국내 10여 개 방산업체의 컴퓨터가 감염됐다. 기무사는 “이번 사건을 계기로 운영체계 업데이트를 포함해 사이버 보안을 좀더 강화하도록 국내 방산업계에 요청했다”고 밝혔다.

김광수기자 rollings@hankookilbo.com