한진과 SK그룹 등 대기업 PC 14만대가 북한 해커 조종을 받는 좀비 PC화 됐다. 이들 기업에서 4만2708건에 달하는 문서가 유출됐다.

경찰청 사이버안전국은 13일 북한 해커가 국내 대기업 PC 14만대를 악성코드에 감염시켜 대규모 전산망 마비를 준비한 사실을 확인했다. 2013년 3월 20일 금융권과 방송사 공격 IP와 동일한 북한 평양 류경동 소재 IP다.

경찰에 따르면 북한은 2014년 7월부터 한진 계열 10곳과 SK네트웍스 등 그룹사 17곳, KT 등 총 160개 기업을 해킹했다. 이들은 일부 기업 전산망 통제권과 문서를 탈취했다. 1년 넘게 대규모 사이버테러를 모의한 정황이다. 일부는 서버와 PC 통제권을 탈취하고도 즉시 공격하지 않고 숨어있었던 것으로 나타났다.

많은 자료 중 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 중심으로 탈취한 사실도 드러났다.

경찰 관계자는 “다수 사이버테러 대상을 폭넓게 확보한 후 동시에 공격을 가해 국가적 혼란을 노렸다”며 “산업·군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하는 게 목적으로 보인다”고 말했다.

경찰은 33종 악성코드를 분석하고 16대 공격서버를 확인했다. 북이 피해그룹사 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서 4만2000건을 복원했다. 공격자는 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작했다. 주로 중소기업, 대학연구소, 개인홈페이지 등 보안이 취약한 서버를 장악해 공격서버로 활용했다. 북한은 방위산업 관련 정보 4만187건과 통신설비 관련 자료 2421건을 유출했다.

공격자는 M사 PC관리시스템 취약점을 이용했다. PC관리시스템은 관리자 권한 없이 원격 접속해 임의로 파일을 배포하고 원격 제어하는 미인증 우회 취약점이 있었다. 해당 기업은 관련 취약점을 인지하지 못했다. 경찰은 해당 제품을 제작한 M사와 이를 사용한 160여개 기관과 기업에 취약점 보완을 조치했다.

한 보안 전문가는 “공격자 PC자산관리 솔루션 보안 취약점을 이용해 공격했지만 대기업 내부 보안 관리가 부실한 상황도 함께 보여준다”며 “문서 접근통제와 암호화, 네트워크 통제, PC보안, 명령&제어(C&C) 서버 통제, 자료유출방지(DLP) 등이 작동하지 않았다”고 설명했다.

또 다른 전문가는 “당장 피해가 없더라도 유출된 문서를 이용해 2014년 한국수력원자력 때처럼 사이버 심리전을 펼 수 있다”고 지적했다.

김인순 보안 전문기자 insoon@etnews.com