↑ ※자료=경찰청 제공, A와 B그룹은 각각 한진그룹과 SK그룹 |
경찰청 사이버수사과는 지난 1월 ‘북한 4차 핵실험’ 직후 사이버테러 관련 첩보를 수집해 수사를 진행한 결과, 국내 업체 160여개 사내 전산망이 북한의 해킹에 노출돼 있었거나 실제 해킹을 당한 흔적을 확인했다고 13일 밝혔다.
이 중에서도 대한항공 등 한진그룹 계열사 10곳, SK네트웍스 등 SK그룹 계열사 17곳, KT그룹 계열사를 비롯한 일부 기업들이 해킹을 당한 사실이 확인됐다.
해킹 공격을 당한 회사들은 기업 전산 통합서비스 제공업체인 ‘M사’의 시스템을 이용하는 곳들이다. M사의 프로그램은 관리자가 원격으로 다수 PC를 관리하면서 소프트웨어를 일괄적으로 업데이트하거나 불필요한 소프트웨어를 삭제하는 기능이 있다. 다수 PC를 관리해야 하는 대기업이나 공공기관 등이 M사 프로그램을 사용 중이다.
북한은 M사 보안 취약점을 파악한 뒤 해킹 프로그램인 ‘유령 쥐(Ghost RAT·Remote Access Trojan)’ 를 이용해 총 33종의 악성 코드를 심어 사이버테러를 시도했다. 유령 쥐는 해킹에 이용될 경우 상대방 컴퓨터를 원격제어하고 내장 카메라를 통해 정찰·해킹이 가능해진다.
경찰은 피해 업체들의 신고를 받고 곧바로 수사에 착수해 해킹 경로를 추적했고, 그 결과 사이버 공격 근원지의 인터넷 프로토콜(IP)이 평양 류경동 소재인 것을 확인했다.
경찰 수사 결과 북한은 M사 프로그램을 쓰는 기관들을 해킹해 관리망 시스템에 침투한 뒤 전산망 통제권을 장악하고 각종 내부 문서를 훔쳐갔다.
경찰 관계자는 “북한이 M사 시스템을 사용하는 기업과 기관 전산망에 침투해 서버를 장악한 뒤 하부 PC 14만대를 언제든 좀비로 만들어 공격에 활용할 준비가 돼 있는 상태였다”며 “북한이 마음만 먹었으면 이 업체들 업무가 한꺼번에 마비되고 PC들이 대규모 디도스(DDos) 공격에 활용될 수 있었다”고 심각성을 전했다.
이번 북한의 공격 패턴은 앞서 지난 2013년 방송사와 금융기관 전산망을 공격한 ‘3.20 사이버테러’ 당시 확인된 IP와 동일했다고 경찰은 전했다. 3·20 테러는 북한이 서버 464대와 PC 등 4만8284대를 파괴해 10일 간 업무를 마비시킨 사건이다. 당시 피해액만 8823억원 상당으로 집계됐다.
경찰은 북한이 이번 해킹으로 실제 대규모 사이버 공격을 감행했다면 피해는 3.20 테러의 2.5배 수준에 달했을 것이라고 추정했다.
우려했던 실제 공격은 이뤄지지 않았다. 피해를 당한 업체들이 경찰 수사에 적극 협조해 신속한 대응이 이뤄져 추가 피해를 막을 수 있었다는 게 경찰의 설명이다.
그러나 대한항공과 SK네트웍스 등 우리 군과 함께 방위사업을 하는 업체에서는 군사 관련한 정보가 다수 유출되는 등 피해를 입었다. 이번 공격으로 탈취된 문서는 4만2608건으로, 방위 사업 관련 정보 등이 4187건, 통신설비 등 관련 자료 2421건 등이다.
이 중에는 미국 F-15 전투기 날개 설계도면과 대한항공이 개발중인 중(中) 고도 무인정찰기 부품 사진 등도 포함된 것으로 확인됐다. 육군과 해병대는 공중 감시능력을 보강하기 위해 대한항공을 통해 정찰용 무인기를 개발해 올해 말 전력화를 앞둔 상태였다.
이번 해킹 사태로 대한항공 방산부문은 신뢰성에 직격탄을 맞았다. 향후 사업 수주에 악영향을 미칠 것이라는 관측도 나온다.
대한항공은 2004년
[김정환 기자 / 서태욱 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]