경찰청 사이버안전국은 북한이 국내 다수의 기관과 대기업에서 사용되고 있는 M 사의 DMS 프로그램의 취약성을 이용한 사이버 해킹을 벌여 대한항공과 SK네트웍스 등 대기업 계열사 27개사의 전산망 통제권과 F-15 날개 설계도와 정비 매뉴얼, 군 업무망 관련 자료 등 안보 관련 자료 4만 2608건을 탈취했다고 13일 밝혔다. 군의 한국형 중고도 무인기 부품 사진도 북의 손에 넘어갔다.
북한은 ‘Ghost RAT’으로 불리는 중국산 악성코드를 개조한 뒤 해당 기업의 서버를 장악해 서버에 연결된 업무용 PC로부터 관련 자료를 탈취했다. 해당 DMS는 관리자 권한이 없어도 각 PC에 원격으로 접속해 임의로 파일을 배포하거나 원격 제어하고 키로그를 할 수 있는 등 치명적 우회 취약점이 있었지만 해당 업체는 이러한 취약점을 인지하지 못 했다. 두 그룹 외에도 15개 그룹사의 PC망에 해당 악성 코드가 심어졌다. KT의 경우 인터넷이 연결된 사외망 내 컴퓨터에서 자료 3500여건이 탈취됐지만 사내망 내 자료는 보안 프로그램에 의해 유출이 차단됐다.
이같은 악성코드를 이용하면 지난 2009년 3.20 DDOS테러와 마찬가지로 국가 기관과 기업의 10만여대의 PC를 모두 무력화 할 수 있는 상태였던 것으로 확인됐다. 다만 북한이 보다 큰 규모의 테러를 준비하는 과정에서 경찰이 차단한 것. 경찰 관계자는 “4단계 테러가 실행됐을 경우 9000억원의 재산 피해가 났던 3.20 테러의 2.5배 이상의 피해가 발생했을 것”이라고 전했다.
경찰은 북한이 핵실험 직후 대규모 사이버테러를 일으켜 온 경향에 비춰 지난 1월 4차 핵실험 이후에도 사이버 테러를 감행할 것으로 보고 첩보 활동을 해오던 중 2월 중순 북에서 제작한 것으로 추정되는 악성코드를 발견했다. 이루 4개월의 수사 끝에 33종의 북한 악성코드를 확보 분석해 16개의 공격 서버를 확인했다. 이후 피해를 입은 두 그룹사의 문서가 탈취된 뒤 삭제한 흔적을 발견해 유출된 문서를 복원했다.
북한은 미국내 VPN 서비스를 이용해 IP를 우회했지만 서비스 불안정으로 북한 평양 류경동 소재 IP에서 악성코드가 뿌려진 흔적이 확인됐다. 관련 문서를 직접 다운로드 받은 흔적되 확인됐다.
다만 경찰은 “관련 기업들과의 긴밀한 협조를 통해 관련 보안 취약성을 해결하는 패치가 모두 이뤄졌고 군 통신망 관련 구조도 변경해 추가 피해 우려는 없다”고 밝혔다.
why37@heraldcorp.com