 |
© News1 최진모 디자이너 |
(서울=뉴스1) 차윤주 기자 = 북한이 대한항공·SK네트웍스서비스 등 국내 2개 대그룹 계열사의 전산망을 해킹, 기밀 문서를 빼낸 뒤 전산망 마비공격을 준비해온 사실이 드러났다.
특히 이 과정에서 미국의 F15전투기, 중고도 무인정찰기 등 관련 기밀문서와 우리 군 내부 전산망 자료 등이 상당수 빠져나간 것으로 확인됐다.
경찰청 사이버안전국은 올해 1월 북한이 '4차 핵실험' 직후 대한항공 등 한진그룹 10개 계열사, SK네트웍스서비스 등 SK그룹 17개 계열사의 전산망에 침투한 사실을 확인, 피해복구·재발방지 등 관련 작업을 최근 마쳤다고 13일 밝혔다.
피해를 입은 기업은 국내 PC통합관리업체 'M사'의 시스템을 이용하는 업체로, 자칫하면 13만여개 PC가 북의 전산망 공격에 고스란히 노출될 뻔했다.
이는 지난 2013년 주요 방송사·금융기관의 전산망이 열흘간 마비됐던 '3·20 사이버테러' 당시 피해를 입은 PC 4만8284대의 2.5배에 달하는 규모다.
경찰은 그간 핵실험 후 대규모 사이버테러를 벌였던 북한의 공격 패턴에 착안, 1월부터 사이버테러 탐지활동을 진행하던 중 지난 2월 한 초등학교를 공격한 악성코드에 주목했다.
수사 결과 북에서 제작한 것으로 추정되는 이 악성코드는 160여개 기업·기관이 사용 중인 M사의 PC통합관리시스템 서버를 장악한 상태였다.
경찰은 수사를 통해 북한이 만든 33종의 악성코드를 확보, 북의 공격 서버 16대를 확인했다. 이 과정에서 2013년 '3·20 사이버테러' 공격 당시 아이피(IP)와 같은 평양 류경동 소재 IP가 해당 기업 파일 탈취, 전산망 마비 테러 준비 등을 진행한 것을 파악했다.
북한은 대한항공 전산망에서 미군의 F15 전투기 유지보수를 위한 매뉴얼과 도면, 날개 설계도, 제원 등을 비롯해 중고도 무인정찰기 관련 자료, 각종 연구기술(R&D)자료 등을 빼간 것으로 전해졌다.
SK네트웍스서비스는 우리 군의 업무 전산망 관련 자료를 탈취당했다.
경찰은 북이 대한항공과 SK네트웍스서비스 문서를 탈취한 뒤 삭제한 흔적을 발견해 유출된 문서 4만2608개를 복원했다.
경찰 관계자는 "북한의 악성코드는 자료를 가져온 뒤 흔적이 남지 않게 돼있다. 북이 얼마나 더 가져갔는지, 아닌지는 확인할 수 없다. 추가 유출 가능성이 있다"고 말했다.
다만 탈취된 기술이 국가 안보를 위협하는 핵심 기밀은 아니라고 경찰은 설명했다.
경찰 관계자는 "F15의 경우 엔진 기술 등 핵심 정보가 유출된 것은 아니라는 답을 해당 기업에서 들었다"며 "탈취된 SK네트웍스서비스의 군 전산망 자료 역시 일반병사들이 사용하는 내무반 중심이라 군사기밀 자료는 없다고 밝혔다"고 전했다.
KT 역시 M사의 시스템을 사용해 공격 대상이 됐지만 북이 침투한 지 사흘만에 공격 사실을 파악해 큰 피해가 없었다.
북한은 당초 2013년 주요 언론사·금융기관의 전산망을 마비시킨 '3·20 사이버테러'와 같은 대규모 전산망 마비 사태를 노렸지만, 해킹 과정에서 대기업의 기밀문서가 나오자 정보를 빼낸 것으로 경찰은 보고 있다.
대규모 사이버테러를 위해 더 많은 PC를 확보하는 과정에서 공격 사실이 발각된 것이다.
북한이 만든 악성코드는 이른바 '유령 쥐'(Ghost Rat·원격접속악성프로그램)로 원격제어·정찰·해킹 등 기능이 다양하고 주로 중소기업·대학연구소·개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용한 것으로 드러났다.
경찰은 대규모 전산망 마비 사태를 부를 수 있었던 이번 북한의 공격을 조기에 파악, 피해기업·유관 기관 등과 공동 대응으로 피해를 복구하는 한편 추가 공격의 여지를 차단했다고 밝혔다.
경찰 관계자는 "2013년 3·20 테러 당시 열흘간 업무가 마비됐고 피해액은 8800억원으로 추정된다"며 "이번엔 당시의 2.5배인 PC 13만여대를 좀비화해서 전산망 공격할 수 있는 상태였다. 조기에 차단되지 않았다면 더 많은 기업·기관이 연쇄 피해를 당할 수 있었다"고 말했다.
chacha@
[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
