"어디가 또 뚫렸나"..연이은 해킹에 KF-21도 "위험'

"어디가 또 뚫렸나"..연이은 해킹에 KF-21도 '위험' [박수찬의 軍]

 

박수찬 입력 2021. 07. 03. 06:02 수정 2021. 07. 03. 11:28 

 

국내 연구기관과 방위산업체에 대해 북한이 배후로 추정되는 해커 그룹이 해킹을 감행하는 양상이 벌어지고 있다. 게티이미지

 

군과 방위산업계가 충격에 휩싸였다. 북한이 배후로 추정되는 해커 세력이 한국원자력연구원과 대우조선해양, 한국항공우주산업(KAI)을 해킹한 것이 드러나면서다.

 

국가정보원이 지난달 16일 KAI에 ‘해킹이 있었다’고 통지한 지 하루만에 청와대에서 열린 국가안전보장회의(NSC) 상임위원회에서 국내외 사이버공격 실태 및 대응체계 점검이 이뤄진 것을 감안하면, 중대한 상황이 벌어졌다는 관측이 많다.

 

관계 당국은 KAI와 대우조선해양을 비롯해 국내 주요 방산업체를 대상으로 기술보호 보안조사를 실시하는 것으로 알려졌다. 추가적인 해킹 피해가 드러날 가능성도 배제할 수 없다.

 

◆군 핵심 사업 다수가 해킹 위협 노출

 

KAI의 실제 해킹 피해 수준에 대해 방위사업청은 “피해 규모나 공격지점 등에 대해서는 수사나 조사가 진행 중이기 때문에 현재로서는 답변이 제한된다”며 “방산업체에 사이버위협 상황을 전파하여 전산보안 수준 제고를 요청했고, 향후 수사 및 조사결과에 따라 철저한 재발방지 대책을 수립해 이행할 계획”이라는 입장이다.  

 

국회 국방위원회 소속 국민의힘 하태경 의원은 “KAI 해킹이 사실이라면 최신 국산 전투기인 KF-21의 설계도면이 탈취됐을 가능성이 크다”고 주장했다. 

한국항공우주산업(KAI)이 개발한 KF-21 전투기 시제1호기가 전시되어 있다. 방위사업청

 

정부 소식통은 “KF-21 설계도면이 유출돼도 기술적으로는 큰 가치가 없다”며 “항공전자 분야나 국방획득 관련 사업요구도 등의 자료 유출 가능성에 더 유의해야 한다”고 지적했다.

 

최근 개발되는 전투기는 ‘기계가 아닌 전자제품’이라는 말이 나올 정도로 전자장비 탑재 비중이 매우 높다. 전자장비 성능이 전투기의 위력을 결정할 정도다. 레이더, 전자전 체계 등 전투기 탑재 항공전자장비의 성능을 파악하는 것이 중요한 이유다.

 

KF-21에 탑재되는 핵심 전자장비는 국산품이다. 다기능위상배열(AESA) 레이더는 국방과학연구소, 적외선 탐색 및 추적장비와 전자광학 표적힉득 및 추적장비는 한화시스템, 통합 전자전 체계는 LIG 넥스원이 개발했다. KAI는 엔진, 무장과 더불어 국내 개발된 전자장비들을 통합해 KF-21을 만든다.

 

체계통합이 성공적으로 이뤄지려면 각 장비의 하드웨어와 소프트웨어가 톱니바퀴처럼 합쳐져야 한다. 이를 위해서는 체계통합 업체인 KAI가 관련 정보를 확보하고 있어야 한다. 

 

외국 제품을 사용했다면 해외 제작업체로 눈을 돌렸겠지만, 국산품이라면 KF-21 체계통합을 맡은 KAI를 비롯한 국내 업체 해킹이 가장 효과적이다. 

 

KF-21에 탑재될 다기능위상배열(AESA) 레이더 시제품. 세계일보 자료사진

 

실제로 항공 전자장비 관련 정보가 해킹을 당했다면, 최악의 경우 소프트웨어 알고리즘을 바꿔야 할 수도 있다.

 

FA-50 경전투기 관련 자료도 해커의 표적이 됐을 가능성이 적지 않다. 한국 공군이 60대를 운용중인 FA-50은 KAI가 수출을 적극 추진하는 기종이다.

 

미국 록히드마틴은 KAI와 T-50, FA-50을 공동개발했다. 미국 측이 해킹에 따른 정보유출 여부를 한국에 질의하면 정부와 KAI는 상당한 부담을 안게 된다. 방산업계 관계자는 “답변 내용에 따라 추후 법적 문제가 발생할 소지가 있다”이라고 전했다.

 

무인정찰기도 마찬가지다. KAI는 국내외 잠재적 고객을 위해 다양한 종류의 무인기를 만들고 있다. 무인기 성능을 파악한다면, 이들의 활동을 저지할 수단을 만들거나 복제품 무인기를 개발할 수 있다.

 

일각에서는 기밀유출 방지를 위해 도입된 문서암호화체계(DRM)의 역할에 주목한다. 문서암호화체계는 사내에서 사용되는 모든 문서를 암호화해 조직 내부에 유통할 수 있다.

 

사내 중앙 시스템에서 관리하는 중요 문서가 컴퓨터에 다운로드되면 그 시점에 맞춰 문서를 암호화하는 기능도 있다. 외부로 전달된 문서에 대한 권한 폐기도 가능하다. 

 

문서암호화체계가 작동했다면, 해킹이 이뤄졌어도 해커가 열람할 수 있는 기밀의 수는 상당 부분 감소할 가능성이 있다.

공군 TA-50 전술입문훈련기 편대가 이륙을 위해 활주로에서 대기하고 있다. 세계일보 자료사진

 

문제는 기술보호시스템이 제대로 갖춰져 있느냐는 것이다.

 

방위사업청이 지난해 5월 66개 방위산업 대·중견·중소기업을 대상으로 실시한 기술보호체계 점검 결과에 따르면, 35개 방산 중소기업 가운데 연구용 노트북 등의 전산장비를 업무용 PC에 준해서 관리하는 업체는 절반에 불과했다.

 

문서보안체계(DRM)도 문서(HWP, DOC) 파일은 100% 보안 체계가 적용되고 있으나, 이미지 및 도면 파일은 전체의 20∼30%가 적용되지 않았다. 파일로그 점검도 중소기업(35개 대상)은 26%에 불과했으며, 대기업(16개)도 63%에 그쳤다.

 

상대적으로 보안수준이 낮은 하청·협력업체를 통해 침투하는 공급망 해킹 수법을 사용하는 사례가 늘어나는 상황을 감안하면, 중견·중소기업의 국방기술보호에도 더 많은 신경을 써야 한다는 지적이 나온다.

 

◆북한의 소행에 무게가 실리는 이유

 

국내외에서는 이번 해킹 시도의 주체로 북한을 지목하고 있다.

 

하태경 의원은 1일 기자회견에서 “KAI는 지난달 16일 국가정보원에서 해킹 사실을 전달받고 긴급 조치를 했다”며 “침해 경로는 VPN(암호화된 인터넷 연결로 내부망처럼 이용할 수 있는 가상 사설망) 취약점을 통해 침입한 것으로 추정하고 있으며, 공격자는 내부 직원의 비밀번호를 알아내 접근한 것으로 보인다”고 밝혔다. 

 

하 의원은 “지난 5월 북한 정찰총국 해커 조직 킴수키에 의해 해킹당한 것으로 알려진 원자력연구원 사건 수법과 똑같다”고 지적했다. 하 의원에 따르면, 연구원은 ‘VPN 취약점을 통해 신원불명의 외부인이 일부 접속에 성공했다’며 지난달 14일 사고 신고를 했다.

 

미군 정보여단 장병들이 컴퓨터를 이용해 사이버 작전 관련 활동을 하고 있다. 세계일보 자료사진

 

이와 관련해 국제 사이버 보안업체인 파이어아이는 한국 방산업체에 대한 북한의 사이버 공격 활동을 지난달 초부터 인지하고 있었다고 미 자유아시아방송(RFA)에 밝혔다.

 

프레드 플랜 파이어아이 위협정보 선임분석관은 RFA와의 인터뷰에서 “이러한 사이버공격은 북한 해킹조직 안다리엘에 의해 이뤄지고 있다”고 설명했다. 

 

안다리엘은 미국 정부가 대북 특별제재 대상으로 지목한 북한 해킹그룹이다. 블루노로프와 더불어 라자루스의 하부 해킹그룹으로 분류된다.

 

이들의 존재와 활동 내용이 드러난 것은 2019년 9월 미 재무부가 라자루스, 안다리엘, 블루노로프를 제재하면서다. 

라자루스는 2007년 초에 창설돼 세계 주요 국가의 정부나 군, 금융기관, 기업, 미디어 등을 대상으로 전방위 해킹 활동을 해왔다.

지난해 미국 대선을 앞두고 선거 관계자가 전자개표기를 점검하고 있다. 게티이미지

 

지난 2017년 전 세계 컴퓨터에 랜섬웨어를 심어 큰 피해를 입힌 워너크라이 사건이 대표적이다. 150개국에서 워너크라이 랜섬웨어 악성코드에 감염됐고, 30만대의 컴퓨터가 셧다운 됐다.

 

2015년에 존재가 포착된 안다리엘은 한국 정부와 인프라를 해킹 표적

 

으로 삼았다. 방위산업체, 정치기구, 보안업체, ICT 업체와 도박게임, 현금자동입출금기(ATM), 금융사, 여행사, 암호화폐 거래소 등이 해킹 대상이다.

 

미 재무부는 “안다리엘이 정보 취득을 위해 한국 정부 관리들과 한국군을 상대로 해킹을 지속하고 있다”면서 2016년 한국 국방부장관 집무실의 개인 컴퓨터와 국방부 인트라넷인 국방망에 대한 해킹을 대표적 소행으로 지목했다. 이때 해킹 공격으로 한국군 PC 3200여 대가 감염됐다.

 

이와 관련해 안랩은 지난 2018년 5월 안다리엘에 대한 분석 보고서에서 “공격 대상이 사용하는 소프트웨어의 취약점을 이용한 공격이 빈번한 점 등으로 미루어 한국의 IT 환경에 대해 상당히 파악하고 있는 것으로 보인다”며 기업과 기관의 주의를 당부한 바 있다.

 

안랩에 따르면, 안다리엘은 공격 대상인 기관 또는 기업에서 사용하는 중앙관리 솔루션을 파악한 후 이를 분석해 취약점을 찾아 공격에 이용한다. 중앙관리 솔루션을 이용한 공격은 조직 전반에 막대한 피해를 입힐 수 있어 보안에 더 많은 신경을 써야 한다.

사이버 해킹은 국내 방산업체의 기술보호 필요성을 더욱 높이고 있다. 게티이미지

 

블루노로프의 해킹은 2014년 보안업계에 의해 처음 탐지됐다. 라자루스의 소행으로 알려진 2016년 뉴욕 연방준비은행의 방글라데시 중앙은행 계정 해킹에 가담했다.

 

킴수키는 글로벌 정보 수집 임무를 수행한다. 한미일 3국의 개인과 조직을 공략, 국가안보 기밀에 대한 해킹을 시도하고 있다. 2014년 한국수력원자력 해킹 사건도 이들의 소행이다.

 

북한이 배후로 추정되는 해킹 사건이 잇따른 것은 북한의 사이버 공격 의지가 여전히 강하다는 사실을 재인식시키고 있다. 막대한 비용과 인력을 투입해 개발한 첨단 기술을 보호할 수 있도록 정부 차원의 사이버 방호 노력이 필요한 이유다.

 

기업도 조직 내 보안 의식을 높이고, 구성원들이 사소한 보안 규칙도 철저히 준수하도록 해야 한다. 그렇지 않는다면 한국의 온라인 세계는 북한 해커의 공격으로부터 자유로울 수 없다.

 

박수찬 기자 psc@segye.com