북한, 한진·SK 전산망 해킹…F15·무인정찰기 정보 유출

4차 핵실험 직후 침투…기밀문서 4만3천여건 탈취
PC 13만여대에 악성코드 심어 사이버 공격도 시도

북한이 대한항공 SK네트웍스 등 국내 대기업의 전산망을 해킹해 기밀문서 4만3000여건을 빼내갔다. 국내 대기업 PC 13만여대의 통제권을 탈취해 사상 최대 사이버 공격을 준비한 사실도 드러났다.

경찰청 사이버안전국은 북한이 ‘4차 핵실험’ 직후인 지난 2월 대한항공 등 한진그룹 10개 계열사, SK네트웍스 등 SK그룹 17개 계열사의 전산망을 해킹한 사실을 확인했다고 13일 발표했다.

북한은 국내 M사가 개발한 PC통합망의 취약점을 찾아내 시스템에 침투했다. 해당 통합망을 이용하는 대기업 PC 13만여대에 악성코드를 유포해 사상 최대 규모 사이버 테러를 계획한 것으로 조사됐다. 2013년 주요 방송사와 금융회사의 전산망을 열흘간 마비시킨 ‘3·20 사이버테러’ 때 감염된 PC 4만8284대의 2.5배 규모다. 다만 피해 업체에서 경찰과 공조해 관리망의 결함을 신속히 밝혀낸 덕분에 북한의 실제 공격은 이뤄지지 못했다.

하지만 북한의 기업 내부 기밀문서 해킹까진 막지 못했다. 지금까지 확인된 유출 문서만 4만2608건에 이른다. 대한항공 전산망에서 미군의 F15 전투기 유지 보수를 위한 매뉴얼과 도면, 날개 설계도, 제원 등을 비롯해 중고도 무인정찰기 관련 자료, 연구개발(R&D) 자료 등을 빼갔다.

SK네트웍스서비스에선 우리 군의 업무 전산망 관련 자료를 탈취했다. KT도 공격 대상이었지만 북한이 악성코드를 침투시킨 지 사흘 만에 공격 사실을 파악해 큰 피해가 없었다. 경찰 관계자는 “탈취된 문서 가운데 전투기 엔진이나 제어기술, 군사기밀을 취급하는 전산망 등 보안상 위험한 내용은 없었다”고 말했다.

북한의 악성코드는 ‘유령 쥐’(Ghost Rat·원격접속악성프로그램)로 불린다. PC에 침투시키면 원격제어·정찰·해킹 등이 가능하다. 주로 중소기업 대학연구소 개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용한 것으로 드러났다. 이번 해킹이 시작된 인터넷 프로토콜(IP) 소재지는 평양 유경동으로 3·20 사이버테러 당시 확인된 IP와 같다고 경찰은 설명했다.

심은지 기자 summit@hankyung.com