핵추진 잠수함·SLBM 기밀·수직발사기 기술 털려… KAI는 피싱당해 16억원 날려최종건 박선원 윤건영 등에 피싱, 하태경 신원식도 대상… 北 해커 '김수키' 추정전직 고위관료에 '기고문' 요청해 해킹 허브 만들어… 은퇴자 이메일 오면 일단 의심을
  • ▲ 대전 유성구에 있는 한국원자력연구원. 최근 북한에 해킹을 당한 것으로 알려졌다. ⓒ연합뉴스. 무단전재 및 재배포 금지.
    ▲ 대전 유성구에 있는 한국원자력연구원. 최근 북한에 해킹을 당한 것으로 알려졌다. ⓒ연합뉴스. 무단전재 및 재배포 금지.
    지난 18~20일 국내 언론에서는 “어디가 해킹당했다”는 보도가 계속 나왔다. 해킹당한 곳들은 국가안보와 밀접한 관련이 있는 기업·기관·개인이었다. 문재인정부의 대북정책에 깊숙이 관여한 사람들이 해킹의 주된 목표였다는 보도도 나왔다.

    문제는 “현 정부가 해킹 공격에 별다른 대응을 않는다”는 것이다. 북한이 본지를 대상으로 해킹을 시도했을 때도 관련 내용을 정보보안업체에 제공하고 보도했지만, 국가정보원이나 경찰은 아무런 관심도 보이지 않았다.

    한국원자력연구원·대우조선해양, 북한 해커에 뚫린 사실 뒤늦게 드러나

    지난 18일 국민의힘 하태경 의원은 국회에서 기자회견을 열고 “지난 5월14일 한국원자력연구원 내부 서버가 북한 해커에게 해킹당했다”고 밝혔다. 

    국회 정보위원회 위원인 하 의원은 “북한 정찰총국 소속 해커 조직 ‘김수키’로 추정되는 해커의 소행”이라며 “만약 북한에 원자력 기술 등 핵심기술이 유출됐다면 2016년 국방망 해킹에 버금가는 초대형 보안사고로 기록될 수 있다”고 지적했다.

    하 의원은 이어 원자력연구원으로부터 받은 자료 일부를 공개했다. 연구원은 5월14일 ‘가상사설망(VPN·일반적인 인터넷 네트워크를 개인 통신망처럼 사용할 수 있도록 가상의 인터넷 주소 등을 제공하는 서비스)’ 취약점을 통해 신원불명의 외부인이 접속한 사실을 발견하고 사고 신고를 했다. 

    연구원에 따르면, VPN으로 접속한 외부 IP(인터넷 주소)는 13개였다. “북한 사이버테러 전문 연구그룹 ‘이슈메이커스 랩’에서 외부인의 IP를 추적한 결과 ‘김수키’가 지난해 우한코로나(코로나19) 백신 개발 기업을 공격했던 서버로 연결되는 사실을 확인했다”고 하 의원은 밝혔다.

    중앙일보는 20일과 21일 정부 소식통을 인용해 “북한 해커로 추정되는 세력이 지난해부터 올해 상반기까지 대우조선해양을 해킹해 일부 자료가 유출됐다”고 보도했다. 

    신문은 “해킹을 시도한 자료 중에는 국산 핵추진 잠수함 연구내용도 포함됐다”며 “정부 안팎에서는 최근 발생한 한국원자력연구원 해킹 사건과 연관이 있을 가능성까지 제기됐다”고 설명했다. 북한 정찰총국 소속 해커 조직의 소행을 의심한다는 것이다.

    신문은 21일 소식통을 인용 “해킹당한 자료 가운데 해군과 대우조선해양이 오래전부터 검토해온 핵추진 잠수함 개념연구 내용도 포함돼 있다”고 전했다. 잠수함발사탄도미사일(SLBM)과 한국형수직발사기(KVLS) 기술도 탈취당했다고 한다. 

    다른 소식통은 “북한 정찰총국 소속의 여러 해커 조직이 경쟁하듯 한국에 침투하고 있다”고 주장했다. 

    신문은 “핵추진 잠수함을 건조할 기술은 우리나라도 갖춘 것으로 평가된다”는 한 정부 소식통의 말도 덧붙였다.
  • ▲ 한국 해군 최초의 3000톤급 잠수함 도산 안창호함. 한국군은 다음 차례로 핵추진 잠수함을 구상하고 있다. ⓒ뉴시스. 무단전재 및 재배포 금지.
    ▲ 한국 해군 최초의 3000톤급 잠수함 도산 안창호함. 한국군은 다음 차례로 핵추진 잠수함을 구상하고 있다. ⓒ뉴시스. 무단전재 및 재배포 금지.
    대우조선해양은 2016년 4월 해커에게 4만여 건의 내부자료가 유출된 적이 있다. 당시 국방부는 유출된 자료 가운데 1~3급 군사기밀이 60여 건이며, 이지스 구축함과 잠수함의 설계도와 전투체계 관련 자료가 포함됐다고 국회에 보고했다.

    수리온·마린온 만드는 한국항공우주산업은 해커에게 16억원 ‘피싱’당해

    한편 수리온·마린온 등을 만드는 공기업 ‘한국항공우주산업(KAI)’은 해커에게 ‘피싱’당해 16억원을 날렸다. 21일자 주간조선에 따르면, KAI 회전익사업부(헬기 개발 사업부)는 지난 5월 초 영국의 협력업체로부터 “물품 대금을 받는 계좌가 바뀌었다. 새 계좌를 알려줄 테니 대금을 보내 달라”는 메일을 받고 해당 업체에 확인도 않고 이메일에 적힌 계좌로 141만8400달러(약 16억원)를 보냈다. 이 돈은 고스란히 해커에게로 송금됐다고 한다.

    KAI 관계자는 “메일 주소가 거래업체 이메일 주소와 똑같아 알아채기 어려웠던 것으로 보인다”고 말했다고 주간조선은 전했다. KAI는 뒤늦게 ‘피싱’당한 사실을 깨닫고 지난 5월 중순 경찰에 수사를 의뢰했다고 한다. 

    경찰은 “KAI가 해킹당한 것이 아니라 영국 거래업체가 해킹당한 것”이라며 “전형적인 이메일 무역사기 수법으로, 해커 일당이 누군지는 아직 특정되지 않은 상황”이라고 말했다고 한다. 

    주간조선은 “이와 관련해 KAI는 후속조치로 최근 관련 사업분야 쪽 고객 계좌정보를 전수 확인했다”면서 “하지만 KAI가 거액의 피싱 사기를 당했다는 사실은 내부에도 거의 알려지지 않았다”는 KAI 내부자들의 말도 전했다. 

    이처럼 해킹이나 피싱 사실을 쉬쉬하는 것은 KAI뿐만이 아니다. 앞서 언급한 한국원자력연구원도 마찬가지였다.

    원자력연구원이 북한 해커에게 해킹당한 사실을 처음 보도한 시사저널은 “연구원 측이 해킹과 관련해 일주일 사이에 입장을 3번이나 바꿨다”고 밝혔다. 처음 관련 내용을 문의한 6월11일에는 “해킹 피해가 발생해 현재 조사 중”이라고 했다가 닷새 뒤에는 “해킹 피해를 입은 바 없다”고 주장했다. 그러다 17일에는 다시 해킹 피해 사실을 시인했다. 

    관련 내용을 국회에서 상세히 밝힌 하 의원 또한 “원자력연구원과 과학기술정보통신부 등은 ‘해킹 사고는 없었다’ ‘처음 듣는 이야기’라며 사건 자체를 은폐하려다 추궁 끝에 관련 자료를 보내왔다”면서 “원자력 기술을 연구·개발하는 국가 핵심 연구기관이 북한 추정 세력으로부터 해킹당한 사실을 뻔뻔한 거짓말로 은폐해 국민을 속이려 한 죄는 크다”고 비판했다.

    해킹 피해 쉬쉬 하니… 북한, 안보 관련 인사들에 ‘스피어 공격’까지

    지난 18일 시사저널은 “북한이 문재인정부의 핵심 안보·외교라인을 주된 목표로 정계·학계·언론계에 대한 전방위 해킹 공격에 나선 것으로 파악됐다”고 전했다. 

    특히 청와대 국정기획상황실장을 지낸 윤건영 더불어민주당 의원, 노무현정부 시절 통일외교안보전략비서관을 지내고 문재인정부에서 국가정보원 기획조정실장을 맡은 박선원, 청와대 평화기획비서관을 지낸 뒤 외교부로 자리를 옮긴 최종건 제1차관이 주된 목표였다고 매체는 설명했다. 정의화 전 국회의장, 하태경·신원식 국민의힘 의원도 북한의 해킹 대상이었다.
  • ▲ 국민의힘 하태경 의원은 지난 18일 국회 정론관에서 원자력연구원 등이 북한의 해킹 공격을 받은 사실을 폭로했다. ⓒ뉴시스. 무단전재 및 재배포 금지.
    ▲ 국민의힘 하태경 의원은 지난 18일 국회 정론관에서 원자력연구원 등이 북한의 해킹 공격을 받은 사실을 폭로했다. ⓒ뉴시스. 무단전재 및 재배포 금지.
    매체에 따르면, 북한은 지난 5월21일 한미 정상회담 전후로 ‘스피어피싱(spear phishing)’을 시도했다. ‘스피어피싱’이란 특정 인물을 상대로 한 맞춤형 해킹이다. 목표와 관련한 구체적 정보가 없으면 십중팔구 실패한다.

    시사저널은 “한미 정상회담 직전 북한 해커들이 전영기 시사저널 편집국장 이름으로 신각수 전 일본 주재 대사에게 보낸 이메일을 확보했다”며 내용을 소개했다. 설문조사에 응하면 소정의 사례를 하겠다는 내용이었다. 

    그러나 ‘특집호’를 ‘특간호’라 부르거나 ‘발간’을 ‘발급’이라고 하는 등 이상한 표현들이 눈에 띠었다. 지난 3월4일 박상학 자유북한운동연합 대표를 사칭해 본지 해킹을 시도했던 것과 비슷한 수법이었다. 

    당시 해커는 “내가 미국 국무부 차관보와 면담했던 내용을 뉴데일리 기자에게만 알려 주겠다”며 여러 차례 메일을 보냈다. 

    하태경 “국정원, 북한 해킹 적극 대처 않아”… 전문가 “메일 열기 전 보낸 사람에게 전화해야"

    국정원이나 경찰 사이버안전국에서 북한의 이런 해킹에 적극적으로 대처한다는 움직임은 눈에 띄지 않는다. 북한의 해킹 목표가 됐던 하 의원은 “북한의 해킹 수법이 갈수록 지능화·고도화되는데도 실제로 어떻게 해킹해서 어떤 정보를 탈취하는지 공공기관이 모르는 경우도 많다”며 “북한의 사이버테러 대응을 총괄하는 국정원이 아무런 정보를 내놓지 않고 있어 피해를 확산시키고 있다”는 주장을 폈다. 

    이와 관련, 국정원은 “한미 정상회담을 전후해 해킹 시도가 증가함에 따라 사이버 위협 모니터링을 강화했다”고 밝혔다.

    보안전문가는 현재 상황에서 북한 해킹을 예방하는 방법은 “누구도 믿지 않는 것밖에 없다”고 조언했다. 이스트시큐리티 문종현 이사는 “올 상반기 북한의 해킹은 전방위를 대상으로 하는 데다 그 강도가 무척이나 세다”면서 “특히 지난 5월21일 한미 정상회담을 전후로 전직 고위관료를 목표로 한 해킹에 집중하고 있다”고 설명했다.

    북한은 특히 은퇴생활 중인 전직 고위관료를 목표로 삼아 “소정의 사례금을 지급하겠다”면서 자문 또는 기고문을 요청하는 식으로 해킹을 시도한다고 문 이사는 전했다. 

    “전직 고위관료들이 ‘아직도 현장에서 내가 도울 일이 있구나’ 하는 감정을 느끼게 하고, 여기에 20만~40만원가량의 ‘용돈’까지 주겠다고 하니 해킹에 걸려드는 사람이 많다”고 문 이사는 설명했다. 

    문제는 이렇게 해킹당한 전직 고위관료의 이메일이 또 다른 해킹의 ‘허브’ 역할을 한다는 점이다. 현직 당국자들은 전직 고위관료가 보낸 메일을 안 열어볼 수 없다 보니 해킹 피해자가 급속히 늘고 있다고 그는 지적했다.

    문 이사는 “최근 북한 해킹은 ‘아무도 믿지 않는 대응(No one trust plan)’으로 막을 수밖에 없다”고 지적했다. 친한 사이라고 해도 뜬금없이 이메일을 보냈다면 일단 전화로 확인한 뒤 열어봐야 한다는 설명이다. 

    “북한의 해킹 수법이 자본주의의 속성과 사람들의 심리를 악용하는 등 갈수록 교묘해지고 있다”고 우려한 문 이사는 특히 안보당국자들의 각별한 주의를 당부했다.