[일요서울 | 이창환 기자]

정점에 있는 반도체 산업, 피아(彼我)를 명확히 구분 지어야 하는 국내 방위산업의 경우라면 더더욱 각별히 주의해야 한다. 그럼에도 불구하고 북한의 국내 산업기술에 대한 해킹이나 핵심기술 원천에 대한 침투는 더욱 치밀하고 교묘해지고 있다. 이른바 ‘사이버위협’에 국가 방위가 위협을 받고 있다. 국가정보원은 북한의 동향을 파악하는 한편 국내 산업계에 경고 메시지를 보내고 보안 대책 지원에 나섰다. 

국내 반도체 장비업체 설계도면 및 설비 현장사진 탈취 당해
국정원 및 독일 헌법보호청 “北, 첨단기술 절취로 무기 개발” 

22대 총선이 다가오면서 북한의 도발을 우려하는 목소리가 점점 커지고 있다. 정부는 관계부처 중심으로 전략을 세워 기민하게 대응할 방침이다. 국방부와 합동참모본부, 국가안보실 및 국가정보원 등 국가 방위와 안보의 일선에 있는 기관들은 어느 때보다도 온 신경을 집중하고 있다.

하지만 북한의 도발이 남북 군사 경계지역에서 장사정포 등 무기 발사나, 미사일 실험 등에 국한된다는 생각은 이제는 버려야 한다. 21세기에 들어오면서 북한의 디지털 산업 역시 발전했고, 중국이나 러시아 등 북한과 가까운 국가로부터 도입한 디지털 기술에 의한 해킹이나 사이버 안보 위협은 더욱 거세지고 있다. 

지난달 우리나라 국정원과 독일의 헌법보호청(BfV)은 북한이 군사력 강화를 위해 전 세계를 대상으로 방위산업 분야 첨단 기술 절취에 주력하면서, 절취 기술을 정찰위성 및 잠수함 등 전략무기 개발에 활용하고 있다고 판단하고 있다고 밝혔다. 이에 양 기관은 북한의 방위산업 분야에 대한 사이버 공격 피해 예방을 위한 합동 사이버보안 권고문까지 발표했다. 

앞서 2021년 하반기 국정감사에서는 국내 항공, 조선, 원자력 등 주요 방산업체 13곳에 1년 동안 무려 120만 건이 넘는 해킹시도가 밝혀진 바 있다. 더불어 당시 대우조선해양의 경우 해커의 직접적인 공격 시도 사실이 공개되기도 했다. 같은 해 7월에는 한국항공우주산업(KAI)과 한국원자력연구원(KAERI) 등이 북한 소행으로 추정되는 공격을 당하기도 했다. 

북한 해킹 조직의 방산 분야 침투는 2021년, 2022년에 이어 이후에도 끊임없이 이어진 상황. 당시 방위사업청(방사청) 기술보호과 관계자는 취재진에게 “국정원과 군사지원안보사령부(안보사) 등과 공조해 보안 분야 취약점을 파악해 조치에 나서고 있다”라면서 “해킹 사고의 원인을 면밀히 분석해, 그에 맞는 조치 사항을 안내했다”고 말했다.

북한, 방산기관 우회침투… 구인업체 관계자 위장까지

국정원에 따르면 북한의 국내 방산기술 분야 위협은 단순하지 않다. 최근에는 홈페이지 유지보수 업체를 통한 우회 침투 방법도 쓰고 있다. 국정원은 “해킹조직은 보안이 취약한 유지보수 업체를 우선 해킹, 서버 계정정보 절취 후 기관 서버 등에 무단 침투해 악성코드 유포를 시도했다”라며 “발각되자, 직원들에게 스피어피싱 이메일 발송 등 추가 공격까지 시도했다.

이는 코로나19 등으로 원격 유지보수가 가능해진 허점을 파고든 것으로 풀이된다. 국정원은 해당 방법으로 내부서버 침투 시도를 파악하고, “국가 및 공공기관 협력 업체의 원격 유지보수가 필요할 경우, 국가정보보안지침 제 26조(용역업체 보안)을 참고해 달라”고 요청했다. 

북한 해킹조직으로 알려져 있는 라자루스는 방산업체 침투를 위해 사회공학적 공격수법을 사용한 것으로 파악된다. 링크드인(Linked in) 등의 채용 담당자로 위장 가입하고, 방산업체 직원에게 접근해 대상자가 관심 가질만한 사소한 이야기로 친밀감을 쌓는데 주력했다. 이후 이직 상담을 핑계로 왓츠앱·텔레그램 등 다른 SNS로 유인하고, 일자리 제안 PDF 발송 등을 통해 악성코드 설치를 유도했다.

국정원과 독일 헌보청 등에 따르면 북한의 해킹행위는 무기 기술 획득을 위한 저비용의 효율적인 수단으로, (북한이) 절대 포기하지 않을 것으로 내다봤다. 더불어 방산 분야 보안 강화의 필요성을 피력했다. 

반도체 장비 기술 탈취, 미사일 개발에 자체 활용

더욱이 북한은 최근까지도 국내 반도체 장비업체를 대상으로 사이버 공격에 집중하고 있는 것으로 나타났다. 특히 서버가 인터넷에 연결돼 취약점이 노출된 업체가 그 대상이 됐다. 국정원에 따르면 최근에는 해킹조직이 ‘악성코드’를 최소화하고 서버 내 정상 프로그램을 활용하는 기법을 주로 구사했다. 이는 공격자가 눈에 띄지 않아 보안 도구로도 탐지가 어렵다. 

이런 이유로 지난해 12월 A사와 지난 2월 B사는 각각 형상관리 서버와 보안정책 서버를 해킹당해, 제품 설계도면과 설비 현장사진이 탈취됐다. 이런 해킹 동향은 UN의 대북제재 등으로 인해 반도체 조달 어려움 및 위성·미사일 등의 개발에 따른 수요 증가로 반도체 자체 생산 준비에 나섰을 가능성으로 이어진다. 

국정원은 해킹 피해업체에 해당 사실을 통보하고 보안대책 수립을 지원했다. 또 추가 피해 방지를 위해 주요 반도체 업체에도 위협정보를 제공해 자체 보안점검에 나서도록 조치했다. 국정원은 “인터넷 노출 서버 대상 보안 업데이트와 접근 제어를 실시하고, 정기적인 관리자 인증강화 등 계정관리를 철저히 해야 한다”고 당부했다.

한편 이번 한국과 독일 양 기관의 사이버보안 권고는 지난해 3월 ‘킴수키 해킹조직의 구글서비스 악용공격’ 발표에 이어 두 번째다. 이는 북한이 전 세계를 상대로 방산 첨단기술을 탈취해 무기개발에 악용하는 상황에서 ‘북한에 대한 경고’의 메시지라는 의미가 있다.