북한 해커들 ‘러시아제 로켓설계 탈취’ 의혹…“ICBM 진전 활용 가능성”

북한 해킹조직이 러시아의 방산업체를 해킹해 로켓 설계를 탈취했다는 의혹이 제기됐습니다. 북한이 최근 러시아제와 유사한 대륙간탄도미사일(ICBM)을 선보인 것이 이런 해킹과 관련이 있다는 분석이 일각에선 나옵니다. 조상진 기자가 보도합니다.

미국의 정보기술 보안업체 ‘센티넬원’은 7일 북한 해킹조직이 러시아의 각종 미사일 개발을 주도하는 방산업체 ‘NPO 마쉬노스트로예니아’, 일명 ‘NPO 마쉬’를 해킹했다고 밝혔습니다.

센티넬원은 관련 보고서에서 북한 정찰총국 소속 해킹조직 ‘라자루스’와 ‘스카크러프트’가 지난 2021년 말부터 지난해 3월까지 최소 5개월간 러시아 방산업체 NPO 해킹을 시도했으며 방화벽을 비밀리에 뚫는데 성공했다고 지적했습니다.

특히 러시아 방산업체의 로켓 설계 부서를 겨냥했다면서 이들이 대륙간탄도미사일(ICBM) 등에 사용되는 로켓 설계 관련 자료를 탈취했을 가능성을 제기했습니다.

NPO 마쉬는 1944년 설립된 러시아의 방산 기업으로 각종 탄도미사일과 순항미사일, 극초음속 미사일과 위성 등에 사용되는 우주 발사체 개발에 관여해온 것으로 알려졌습니다.

북한의 이번 해킹 의혹을 최초로 제기한 센티넬원의 톰 헤겔 연구원은 7일 VOA에 북한 해킹조직이 해당 방산업체에 백도어 해킹으로 불법 설치한 악성코드를 통해 외부에서 원격 접속해 정보를 탈취한 것으로 분석했습니다.

[톰 헤겔] “Our findings identify two instances of North Korea related compromise of sensitive internal IT infrastructure within this same Russian DIB organization, including a specific email server, alongside use of a Windows backdoor dubbed OpenCarrot.

Our analysis attributes the email server compromise to the ScarCruft threat actor. We also identify the separate use of a Lazarus Group backdoor for compromise of their internal network.”

특정 이메일 서버를 포함해 동일한 러시아 방산업체 내의 민감한 내부 IT 인프라에 대한 북한 공격 사례 2건이 확인됐고 이 중에는 ‘오픈 캐럿’이라는 윈도우 백도어 사용 사례가 포함된 것이 자체 조사결과 드러났다는 설명입니다.

또한 이 같은 이메일 서버 침투는 북한 해킹조직 스카크러프트의 행위로 보고 있으며, 백도어 공격은 과거 라자루스 그룹 소행과 같은 수법임을 확인했다고 덧붙였습니다.

그러면서 북한의 이런 두 위협 행위자가 서로 잠재적 협력을 통해 임무를 수행하고 있을 가능성이 있다고 헤겔 연구원은 지적했습니다.

백도어 해킹이란 해커가 시스템에 침입하기 위해 시스템의 보안 취약점을 악용해 정상적인 인증 절차를 거치지 않고 컴퓨터와 암호 시스템에 접근할 수 있도록 하는 장치를 해킹하는 것입니다.

헤겔 연구원은 북한의 러시아 미사일 개발업체 해킹은 “북한이 미사일 개발 목표를 은밀하게 진전시키기 위해 적극적인 조치를 취하고 있음을 보여주는 강력한 사례”라고 지적했습니다.

[톰 헤겔 연구원] “This incident stands as a compelling illustration of North Korea’s proactive measures to covertly advance their missile development objectives, as evidenced by their direct compromise of a Russian Defense-Industrial Base (DIB) organization.”

그러면서 북한 사이버 위협 행위자들의 정보수집 해킹 활동은 포괄적인 국제적 감시가 필요한 중대한 위협이라며 전략적 대응을 통해 위협을 해결하고 완화하는 것이 매우 중요하다고 강조했습니다.

다만 북한이 이번 해킹을 통해 실제로 어떤 종류의 자료를 얼마나 탈취했는지는 구체적인 확인을 불가능하다고 언급했습니다.

전문가들은 북한의 최근 대륙간탄도미사일(ICBM) 진전 과정에서 러시아제 미사일과의 유사성을 보인 점을 지적하며 이런 해킹과 무관치 않을 것이라고 말했습니다.

미사일 전문가인 독일 ST애널리틱스의 마커스 실러 박사는 지난 4월 북한이 화성18형 대륙간탄도미사일을 발사했을 당시 러시아제 ICBM과 크기, 모양, 설정, 성능까지 매우 비슷하다는 점에 매우 놀랐었다고 말했습니다.

그러면서 이 같은 유사성은 양국 간 국방협력이나 해킹의 결과일 것이라고 분석했습니다.

[녹취: 실러 박사] “I previously pointed out that the Hwaseong-18 looks very similar to Russian missiles. I thought there might be some sort of partnership in that regard or North Korea may have obtained such information through a hacking attack on Russia.

다만 설계도면 확보만으론 관련 기술을 바로 적용하거나 성과를 즉각 도출해낼 수 있는 것은 아니라면서 북한이 해킹 이외에도 다른 노력을 추가적으로 기울이고 있을 것이라고 지적했습니다.

로버트 수퍼 전 미국 국방부 부차관보는 “북한이 미사일을 시험하는 이유를 기억해야 한다”면서 북한이 미국과 유럽 등 여러 나라에 도달할 수 있는 핵과 미사일 능력을 강화하기 위한 지속적인 노력을 기울이고 있다는 점을 지적했습니다.

[녹취: 수퍼 전 부차관보] “You remember the reason why they are testing these missiles these long range missiles are not to be provocative per se but to continue to develop the capability to reach the United States to reach Europe to reach a number of countries. This is a continuous effort of North Korea's building up its nuclear and missile capability. North Korea's widespread hacking attacks, regardless of its allies, is an example of how much effort they are making to secure such deterrent.”

그러면서 우방국도 가리지 않는 북한의 전방위적인 해킹 공격은 북한이 이 같은 억지력 확보에 얼마나 공을 들이고 있는지를 보여주는 단적인 예라고 강조했습니다.

VOA 뉴스 조상진입니다.