(한국방송뉴스/유영재기자) 경찰청 사이버안전국은 북한이 국내 다수의 대기업에서 사용하고 있는 기업 피시관리시스템(M사 제품)의 취약점을 발견하고, 이를 사용 중인 A？B 그룹사 전산망을2014년 7월부터 해킹하여 전산망 통제권 및 문서(경찰이 복구하여 확인한 문서 42,608건)를 탈취한 후 전산망 마비 공격 등을 준비해 온 사실을 확인했다.

사이버안전국(사이버수사과)은 과거 발생했던 사이버테러사건을 분석하여 북한이 핵실험 직후 대규모 사이버테러를 일으켜 온 경향을 인지하고,2016년 1월부터 북한의 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위해 사전 탐지 활동을 진행하던 중,2016년 2월경 북에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수하여 수사하게 되었다.

수사기간 동안 33종의 북 악성코드를 확보 분석하고, 16대의 공격서버를 확인하였으며, 북이 피해그룹사의 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서(42,608개)를 복원했다.

이 과정에서 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’의 공격 아이피와 동일한 북한 평양 류경동 소재 아이피에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이루어진 사실을 확인했다.

더불어, 북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작하였으며, 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악하여 공격서버로 활용한 사실도 확인했다.

이번 北 해킹에 사용된 기업 피시관리시스템(M사 제품)의 경우, 관리자 권한이 없어도, 원격 접속하여 임의로 파일배포？원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었으나, 해당 업체에서는 이러한 취약점을 인지하지 못한 상태였다.

경찰은 수사 초기에 이러한 취약점을 발견하고, 해당 제품을 제작한 M사와 이를 사용하고 있던 160여 개 기관？업체 및 피해 그룹에 즉시 통보하여 취약점을 보완토록 조치하였고, 각 피해 그룹사？유관기관 등과 공동 대응팀을 구성하여 신속하게 피해를 복구하면서 추가 공격의 여지를 차단했다.

더불어, 북이 이번 범행에 이용한 공격서버에 대한 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 북이 탈취해 간 문서 42,608건(방위산업 관련 정보 등 40,187건, 통신설비 등 관련 자료 2,421건)을 확인, 유출 문서에 대한 정보를 피해그룹사와 관계당국에 통보하여 추가 피해방지 조치 및 적절한 후속 조치를 취하도록 요청했다.

북은 국가적 규모의 사이버테러를 시도하기 위해 장기간(’14.7월이후) 사전 준비 작업을 하고 있다는 사실이 드러났다.

일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버？피시통제권을 탈취한 상태에서도 즉시 공격하지 않고, 이를 은닉시켜 둔 채, 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해 온 사실이 확인됐다.

이는 북이, 다수의 사이버테러 대상을 폭넓게 확보한 후 동시에 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업？군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다.

또한 A, B그룹사의 많은 자료 중 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 중심으로 탈취한 사실도 확인됐다.

국가 기간사업이나 군 관련 사업을 맡고 있는 대기업이 사이버테러의 표적이 될 경우, 그 피해가 해당 기업에만 미치지 않는다는 점을 감안할 때, 시스템 보안이 강화되도록 관련 정보를 제공했다.

경찰청 사이버안전국은, 북의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고, 앞으로도 주요 공공기관 및 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력해 나갈 계획이다.