경찰청은 올 1월 북한의 4차 핵실험 직후 사이버테러 관련 첩보 활동을 전개하는 과정에서 사상 최대 규모의 사이버 공격을 준비했던 사실을 확인했다고 13일 밝혔다.
북한이 국내 대기업 전산망의 취약점을 뚫고 들어가 10만대가 넘는 PC의 통제권을 탈취, 대규모 공격에 이용할 준비가 된 상태였으나 실제 공격은 이뤄지지 않았다는 것이다.

사이버 공격 준비

경찰은 4차 핵실험 직후인 지난 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수, 수사를 진행했다. 그 결과 국내 대기업과 공공기관, 정부 부처 등 160여 곳에서 사용하는 PC 통합관리망이 뚫린 사실을 확인했다.
통합관리망이란 많은 PC를 운용하는 기업·기관 등이 사용하는 것으로 관리자가 원격으로 소프트웨어 일괄 업데이트, 삭제 등 다수 PC를 관리하는 시스템이다.
이번에 사이버 공격 대상이 된 통합관리망은 민간 기업이 만든 것으로 SK네트웍스서비스를 비롯한 SK그룹 계열사, 대한항공 등 한진그룹 계열사, KT, 주요 정부 부처 등이 사용하는 것이다.
북한은 이 관리망의 보안상 취약점을 찾아내 시스템에 침투, 전산망 통제권을 탈취한 것으로 드러났다.
경찰에 따르면 북한이 언제든 관리망을 통해 기업·기관 전산망에 침투, 하부 PC에 악성코드를 유포해 좀비 PC를 만든 뒤 대규모 공격에 이용할 준비가 된 상태였다. 이로써 북한이 통제 가능했던 PC는 13만대 선으로 추산됐다.

피해

실제 대규모 공격은 이뤄지지 않았다.
피해 업체에서 자체 대응팀을 가동하고 경찰 수사에 적극 협조, 관리망의 결함을 신속히 밝혀낸 덕분에 보안 패치작업이 빠르게 이뤄져 추가 피해를 막았다.
그러나 북한은 해킹 과정에서 SK네트웍스서비스와 대한항공 등 국내 기업 PC에 저장된 국방 관련 자료를 대량 탈취한 것으로 확인됐다. 지금까지 확인된 것만 4만2천608건.
여기에는 군 통신망 관련 자료, 미국 F-15 전투기 날개 설계도면, 중고도 무인정찰기 부품 사진, 각종 연구개발(R&D) 문건 등 방위산업 관련 자료가 다수 포함돼 있다.
군 당국은 “북한이 해킹한 국방 관련 자료는 기밀에 해당하지 않은 것”이라며 “대부분 공개되어 있거나 누구나 볼 수 있는 수준의 자료”라고 밝혔다.

북한의 사이버 테러

북한이 이번 해킹 이후 실제 사이버 공격을 감행했다면 규모는 그간 역대 최대였던 3.20 사이버테러의 2.5배에 달했을 것으로 추정됐다.
3.20 사이버테러는 2013년 북한 소행으로 방송사와 금융기관 전산망이 악성코드 공격을 받아 PC와 서버, 현금자동입출금기 등 약 5만 대가 파괴되고 10일간 업무마비 사태를 낳았던 사태다. 피해액은 약 9천억 원으로 추산됐다.
이번 해킹이 시작된 인터넷 프로토콜(IP) 소재지는 3.20 사이버테러 당시 확인된 IP와 동일한 평양 류경동으로 확인됐다.
이로써 북한이 국가적 규모의 사이버테러를 시도하고자 장기간 사전 준비 작업을 한 정황이 드러났다. 대규모 공격이 가능한 수준의 서버와 PC 통제권을 탈취하고서도 이를 감춰두고 또 다른 공격 대상을 확보하기 위해 계속 해킹을 시도했던 것이다.