북, 2개 대기업 그룹 전산망 사이버테러 공격
- 기업 피시관리시스템 취약점 해킹→전산망 통제권 및 문서 탈취 -
경찰청 사이버안전국은 북한이 국내 다수의 대기업에서 사용하고 있는 기업 피시관리시스템(M사 제품)의 취약점을 발견하고, 이를 사용 중인 A?B 그룹사 전산망을 ’14. 7.부터 해킹하여 전산망 통제권 및 문서(경찰이 복구하여 확인한 문서 42,608건)를 탈취한 후 전산망 마비 공격 등을 준비해 온 사실을 확인하였다.
사이버안전국(사이버수사과)은 과거 발생했던 사이버테러사건을 분석하여 북한이 핵실험 직후 대규모 사이버테러를 일으켜 온 경향을 인지, ’16. 1. 북한의 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위해 사전 탐지 활동을 진행하던 중, ’16. 2. 북에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수하여 수사하게 되었다.
수사기간 동안 33종의 북 악성코드를 확보?분석하고, 16대의 공격서버를 확인하였으며, 북이 피해그룹사의 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서(42,608개)를 복원하였다. 이 과정에서 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’의 공격 아이피와 동일한 북한 평양 류경동 소재 아이피에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이루어진 사실을 확인하였다. 더불어, 북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작하였으며, 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악하여 공격서버로 활용한 사실도 확인하였다.
이번 北 해킹에 사용된 기업 피시관리시스템(M사 제품)의 경우, 관리자 권한이 없어도, 원격 접속하여 임의로 파일배포?원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었으나, 해당 업체에서는 이러한 취약점을 인지하지 못한 상태였다. 경찰은 수사 초기에 이러한 취약점을 발견하고, 해당 제품을 제작한 M사와 이를 사용하고 있던 160여 개 기관?업체 및 피해 그룹에 즉시 통보하여 취약점을 보완토록 조치하였고, 각 피해 그룹사?유관기관 등과 공동 대응팀을 구성하여 신속하게 피해를 복구하면서 추가 공격의 여지를 차단하였다.
더불어, 북이 이번 범행에 이용한 공격서버에 대한 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 북이 탈취해 간 문서 42,608건(방위산업 관련 정보 등 40,187건, 통신설비 등 관련 자료 2,421건)을 확인, 유출 문서에 대한 정보를 피해그룹사와 관계당국에 통보하여 추가 피해방지 조치 및 적절한 후속 조치를 취하도록 요청하였다. 북은 국가적 규모의 사이버테러를 시도하기 위해 장기간(’14.7월이후) 사전 준비 작업을 하고 있다는 사실이 드러났다.
일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버?피시통제권을 탈취한 상태에서도 즉시 공격하지 않고, 이를 은닉시켜 둔 채, 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해 온 사실이 확인되었다. 이는 북이, 다수의 사이버테러 대상을 폭넓게 확보한 후 동시에 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업?군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다. 또한 A, B그룹사의 많은 자료 중 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 중심으로 탈취한 사실도 확인되었다. 국가 기간사업이나 군 관련 사업을 맡고 있는 대기업이 사이버테러의 표적이 될 경우, 그 피해가 해당 기업에만 미치지 않는다는 점을 감안할 때, 시스템 보안이 강화되도록 관련 정보를 제공하였다.
경찰청 사이버안전국은, 북의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고, 앞으로도 주요 공공기관 및 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력해 나갈 계획이다.
