국가정보원은 19일 독일 헌법보호청(BfV)과의 합동 노력으로 북한의 방산 분야 사이버 공격에 대비하기 위한 권고문을 발표했다.

이 권고문은 북한의 대표적인 방산 해킹 사례 2건에 대한 공격 전략, 기술, 절차(TTPs)를 분석하고 공격 주체와 실제 공격 방법을 소개하고 있다.

이번 한독 사이버보안 권고문은 작년 3월 '킴수키 해킹 조직의 구글 서비스 악용 공격' 발표에 이은 두 번째다. 국정원은 북한이 전세계를 상대로 방산 첨단기술을 탈취하고, 무기개발에 악용하는 상황에서 북한에 경고한다는 의미가 있다고 설명했다.

국정원에 따르면 한 북한 해킹조직은 2022년 말에 해양 및 조선 기술을 연구하는 기관에 침투했다. 이들은 방산 기관에 직접 침투하는 대신 보안이 취약한 유지보수 업체를 먼저 해킹해 서버 계정 정보를 탈취한 후, 기관 서버 등에 무단으로 침투해 악성 코드를 유포하는 시도를 했다. 북한 해킹조직은 악성 코드가 배포되기 전에 발각되자 직원들에게 스피어피싱 이메일을 발송하는 등 다양한 추가 공격을 시도했다.

국정원은 "북한 해킹조직은 코로나19로 인해 원격 유지보수가 허용된 상황을 이용해 내부 서버 침투를 시도한 것으로 보인다"고 밝혔다. "국가 및 공공기관에서 협력 업체의 원격 유지보수가 필요한 경우 국가정보보안지침 제26조(용역업체 보안)를 참고해야 한다"고 덧붙였다.

또한, 북한 해킹조직 '라자루스'는 방산업체에 침투하기 위해 2020년 중반부터 사회공학적 공격 수법을 사용한 것으로 파악됐다. 라자루스는 링크드인 등에 채용 담당자로 위장해 방산업체 직원에게 접근한 후, 대상자와의 관심사에 대한 대화를 통해 친밀감을 형성하는 데 주력했다. 그 후 북한 해커는 이직 상담을 핑계로 왓츠앱, 텔레그램 등 다른 SNS로 유인하고, 악성 코드 설치를 유도하기 위해 일자리 제안 PDF를 발송했다.

양 기관은 북한이 전 세계적으로 방산 기술을 획득하고 무기 개발에 악용하는 것을 목표로 하고 있으며, 이를 위해 절취 기술을 정찰 위성, 잠수함 등 전략무기를 개발하는 데 활용하고 있다고 판단했다.

양 기관은 "북한의 사회공학적 해킹 공격을 예방하기 위해서는 사례 교육과 함께 직원들이 의심스러운 상황을 신고할 수 있는 개방적인 문화를 구축하는 것이 중요하다"고 강조했다.

양 기관은 북한의 사이버 공격이 무기 기술을 얻기 위한 저비용의 효과적인 수단이므로 북한이 앞으로도 이를 포기하지 않을 것으로 보고, 방산 분야의 보안을 강화할 필요가 있다고 당부했다.

국정원 관계자는 "독일 헌법보호청과의 사이버 보안 권고문 발표는 양국이 북한의 세계적인 방산 기술 절취를 놓치지 않겠다는 의지를 보여주는 것"이라며, "양국은 앞으로도 북한을 비롯한 다양한 사이버 위협에 대응하여 안전한 사이버 공간을 만들기 위해 협력할 것"이라고 밝혔다.