[김국배기자] SK, 한진 등 국내 대기업 그룹사들이 북한으로부터 사이버 공격을 당한 것으로 드러났다.
특히 북한은 일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버, PC 통제권을 탈취한 상태에서도 즉시 공격하지 않고 이를 은닉한 채 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해온 것으로 확인됐다.
13일 경찰청 사이버안전국은 북한이 2014년 7월부터 SK와 대한항공 등 한진 그룹사 전산망을 해킹해 전산망 통제권과 4만여 건의 문서를 탈취한 후 전산망 마비 공격 등을 준비해온 사실을 확인했다고 밝혔다.
경찰은 지난 1월 북한의 4차 핵실험 직후 사이버테러 사전 탐지 활동 중 지난 2월 북한이 제작한 것으로 추정되는 악성코드 관련 첩보를 입수하고 수사에 착수했다.
수사 과정에서 지난 2013년 3월 20일 발생한 국내 방송사와 금융사 전산망 테러 당시의 공격 IP와 동일한 북한 평양 류경동 소재 IP에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등의 행위가 이뤄진 사실이 확인됐다.
또 수사시간 동안 악성프로그램 '유령 쥐(Ghost Rat)' 등 33종의 북 악성코드를 확보해 분석하고, 16개의 공격 서버를 확인했으며 북한이 피해 그룹사의 문서를 탈취한 뒤 삭제한 흔적을 발견해 유출된 문서 4만2천608개도 복원했다.
특히 이들 자료 중에는 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료 등도 포함된 사실도 파악됐다.
아울러 북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작, 주로 중소기업이나 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용한 것으로 확인됐다.
더욱이 이번 북 해킹에 사용된 M사의 기업 PC관리시스템의 경우 관리자 권한이 없어도 원격 접속이 가능, 임의로 파일배포 원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었던 것으로 나타났다. 해당업체는 이런 취약점을 인지조차 못한 상태였다.
경찰청 사이버안전국은 "수사 초기에 이런 취약점을 발견하고 해당 제품을 제작한 M사와 이를 사용하고 있는 160여 개 기관, 업체 및 피해그룹에 즉시 통보해 취약점을 보완토록 조치했다"고 설명했다.
이어 "북은 국가적 규모의 사이버테러를 시도하기 위해 장기간 준비 작업을 하고 있다는 사실이 드러났다"며 "다수의 사이버테러 대상을 폭넓게 확보, 동시 공격을 가함으로써 국가적 규모의 혼란을 노렸거나 산업, 군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기