"北, 사이버 공격 준비, 160곳 관리망 침투"… 기업 대응으로 추가 피해 막아

북한이 국내 대기업의 전산망 취약점을 뚫고 침입해 10만대 이상의 PC 통제권을 탈취하고 사이버 공격을 준비했던 사실이 경찰 수사결과 드러났다.

13일 경찰청 사이버수사과에 따르면 올 1월 북한의 4차 핵실험 직후 사이버테러 관련 첩보를 전개하는 과정에서 이같은 사실을 확인했다고 밝혔다. 올해 2월 북한에서 제작된 것으로 추정되는 악성코드와 관련한 첩보를 입수하고 수사를 진행한 결과 국내 대기업과 공공기관, 정부 부처 등 160여 곳에서 사용하는 PC통합관리망이 공격당한 사실을 확인했다.

이번에 공격당한 PC통합관리망은 한 민간업체가 제작한 시스템이다. 이를 설치하면 관리자가 원격으로 다수의 PC를 관리하면서 소프트웨어를 일괄적으로 업데이트 하는 등 많은 PC를 한꺼번에 운용·관리할 수 있다. 현재 이 시스템은 SK그룹 계열사, 한진그룹 계열사, KT, 주요 정부 부처 등 다양하게 사용하고 있다.

경찰은 북한이 언제든 이 관리망을 통해 기업과 기관 전산망에 침투해 악성코드를 유포한 뒤 좀비PC를 만들었을 것으로 보고 있다. 경찰은 북한이 통제 가능했던 PC가 13만대 규모였다고 추정하고 있다.

하지만 피해 업체에서 자체 대응팀을 가동해 관리망의 결함을 발견하는 등 실제 대규모 공격을 이뤄지지 않았다. SK주식회사C&C는 해킹 시도 인지 후 10명으로 구성된 침해사고 대응 TF를 가동해 160여개의 정부기관과 기업의 피해를 예방했다. 경찰은 피해업체가 수사에 협조하고 보안 패치작업을 진행하는 등 발빠른 대응을 통해 추가 피해를 막았다고 설명했다.

북한이 유출한 문서는 확인된 것만 4만2608건이다. 여기에는 군 통신망 자료와 미국 F-15 전투기 날개 설계도면, 무인정찰기 부품사진 등 방위산업 자료가 포함됐지만 보안상 위험한 내용은 없는 것으로 파악되고 있다. 경찰은 유출문서 관련 정보를 피해 기업과 관계 당국에 통보하고 재발방지 조치를 요청했다.

보안업계에서는 이번 공격이 2013년 발생한 3·20 사태와 유사한 지능형 지속공격 해킹(APT)라고 보고 있다. APT 공격은 일반적으로 공격 루트를 찾는데 최대 수 개월이 소요된다. 하지만 해킹 공격 준비 징후를 포착해 발 빠른 대응으로 피해를 최소화 해 3·20 사태의 재발을 막았다고 보고 있다.

보안업계 한 관계자는 “이번 사이버 해킹 테러 방지와 관련해 APT 공격은 더욱 정교해 질 것이고 이의 대응은 점점 더 힘들어 질 것”이라며 “이번 사례처럼 경찰의 지속적인 사이버 테러 감시와 기업의 높은 보안 대응 역량을 결합한 총체적 대응 체제를 갖춰야 할 것”이라고 밝혔다.