▲

[시사주간=강성욱기자]  SK그룹사와 대한항공 등 한진그룹 계열사의 전산망이 북한의 사이버테러 공격을 당한 것으로 드러났다.

경찰청 사이버안전국은 북한이 2014년 7월부터 SK와 한진 그룹사 전산망을 해킹해 전산망 통제권과 문서 4만여 건을 탈취, 전산망 마비 공격 등을 준비해온 사실을 확인했다고 13일 밝혔다.

경찰은 지난 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수, 이번 사건 수사에 착수했다.

과거 북한 사이버테러사건을 분석한 결과 북한이 핵실험 직후 대규모 사이버테러를 일으켜 온 경향을 인지하고 올 1월 북한의 4차 핵실험 후 사이버테러 차단을 위한 사전 활동을 벌이던 중 파악한 것이다.

경찰 조사결과 SK네트웍스 등 그룹 계열사 17곳과 대한항공 등 한진 계열 10곳, KT 등 총 160여개 국내 업체의 사내 전산망이 북한에 해킹 당했다.

경찰에 따르면 북한은 대기업과 정부 부처 등이 사용하는 보안업체 M사의 PC관리프로그램에 접근, 각 PC에 악성프로그램 '유령 쥐(Ghost RAT·remote access trojan)' 등 33종의 악성코드를 전파했다.

공격된 서버는 총 16대, 피해 그룹사가 보관하던 특정 문서를 탈취한 후 삭제하는 수법이었다.

경찰은 디지털포렌식 기법을 통해 삭제 파일 4만2608건을 복원했다. 방위산업 관련 정보 등 4만187건, 통신설비 등 관련 자료 2421건 등이었으며 이 중에는 군 통신망 정보와 F-15 정비매뉴얼, 국내 개발 중인 중(中)고도 무인정찰기 관련도 포함된 것으로 알려졌다.

또 경찰은 이번 테러가 2013년 발생한 '3·20 방송·금융 전산망 사이버테러' 공격과 동일한 IP(북한 평양 류경동 소재)임을 확인했다고 설명했다.

특히 이번 테러에 기반을 둔 사이버공격이 실제로 진행됐을 경우 '3·20 테러'보다 피해규모가 컸을 것으로 예상된다고 전했다. 3·20 테러는 북한이 서버 464대와 PC 등 4만8284대를 파괴해 10일 간 업무를 마비케한 사건이다. 당시 피해액은 8823억원 상당으로 집계된다.

경찰은 북한이 이번 해킹을 통해 방위산업 관련 자료 탈취하고 국내 대기업 전산망 마비 노린 것으로 추정했다. 약 10만대의 PC가 언제든 해킹될 수 있는 상황이었다고도 말했다.

또 북한 해킹에 사용된 M사의 PC관리프로그램에서는 관리자 권한이 없어도 원격 접속을 통해 임의로 파일배로나 원격제어를 할 수 있는 취약점이 발견됐다. M사는 이러한 취약점을 인지하지 못한 상태였다.

이에 경찰은 M사의 PC관리시스템을 사용하는 160여개 기관과 업체, 피해 그룹에 즉시 통보해 지난 3월 취약점 보완 및 추가 테러 가능성을 차단했다.

경찰 관계자는 "북한의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고 앞으로도 주요 공공기관과 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력할 계획"이라고 밝혔다.  SW