북한 해커들, 러시아 첨단 방산업체 해킹

[애플경제 전윤미 기자] 북한 해커들이 러시아의 첨단 미사일 제조업체를 공격, 비상한 관심을 끌고 있다. 다른 나라도 아닌, 동맹국인 러시아를 해킹한 사실이 더욱 세인의 이목을 집중시키고 있다.

특히 로이터통신은 7일 저녁, 관련기사에 ‘단독’ 컷을 붙여, 자세히 전하고 있다. 그 만큼 북한 해커들의 러시아 해킹은 외신으로서도 주목할 만한 뉴스거리인 셈이다.

로이터 통신은 이날 “자체적으로 검토한 기술적 증거와 보안 연구원들의 분석”을 언급하며, “북한 해커들의 엘리트 집단이 지난해(2022년) 최소 5개월 동안 러시아의 주요 미사일 개발업체의 컴퓨터 네트워크를 비밀리에 침입했다”고 전했다.

작년에 최소 5개월 이상 침입

로이터 통신이 전하는 북한 해커들의 공격 대상은 모스크바 외곽의 소도시 로이토프에 본부를 둔 첨단 미사일 설계업체인 ‘NPO 마시노스트로예니야’이다. 북한 당국과 연계된 사이버 스파이팀인 ‘스카크루프트’와 ‘라자루스’는 비밀스럽게 NPO 시스템에 디지털 백도어를 설치한 것으로 알려졌다.

보안 전문가들과 함께 이를 자세히 분석했다는 로이터 통신은 “침입 과정에서 어떤 데이터가 유출되었는지, 어떤 정보가 누설되었지에 대해서는 파악하지 못했다.”면서 “특히 해킹을 벌인 후 몇 달 만에 북한은 탄도 미사일 기술이 급속도로 발전했지만, 이것이 러시아 해킹과 관련이 있는지는 확실하지 않다.”고 전했다.

북한 해커들의 러시아 해킹은 국제사회로부터 고립된 북한이 중요한 기술을 습득하기 위해 얼마나 애를 쓰는지를 잘 알려준 셈이다. 러시아와 같은 동맹국들까지 가리지 않고, 해킹할 정도로 다급한 상황임을 보여준다.

정작 해킹을 당한 것으로 보도된 ‘마시노스트로예니야 NPO’는 로이터통신의 코멘트 요청에 가타부타 응답하지 않았다. 워싱턴 주재 러시아 대사관이나, 뉴욕 주재 유엔 북한대표부 모두 침묵을 지켰다.

마침 이같은 해킹 소식이 나온 시점도 미묘하다. 1991년 소련 붕괴 이후 러시아 국방장관으로서는 처음으로 세르게이 쇼이구 장관이 한국전쟁 70주년을 맞아 지난달 평양을 방문한 직후에 이런 소식이 전해진 것이다.

북한은 미국 본토를 타격할 수 있는 대륙간탄도미사일(ICBM)을 개발하는 프로젝트에 박차를 가하고 있다. 당연히 북한으로선 첨단 미사일 기술에 대한 관심이 클 수 밖에 없다. 특히 미사일 전문가들에 따르면, 흔히 ‘NPO 매시’로 알려진 이번 해킹 대상 기업은 극초음속 미사일, 위성 기술, 차세대 탄도 무기의 선구적인 개발자 역할을 해온 것으로 전해진다.

이 회사는 냉전 기간 동안 러시아 우주 프로그램을 위한 최첨단 위성과 순항 미사일 기술을 보유하며, 이를 생산, 제공하면서 명성을 드높였다.

이메일 해킹 수법으로 침투

로이터통신이 인용한 전문가들에 의하면 북한의 사이버 공격킹은 대략 2021년 말에 시작되어 2022년 5월까지 계속된 것으로 추정되고 있다.

특히 이런 움직임을 처음 발견한 미국 사이버 보안업체인 ‘센티넬원’의 보안 연구원 톰 헤겔에 따르면 해커들은 NPO 매쉬의 IT 환경을 파고들어, 이메일 트래픽을 읽고 네트워크 사이를 이동하며 데이터를 추출해낸 것으로 알려졌다.

보안 연구원 헤겔에 따르면 앞서 NPO 매쉬 IT 직원들이 전세계 사이버 보안 연구원들이 사용하는 사설 포털에 증거를 업로드, 북한의 사이버 공격 여부를 조사했다. 그러나 “그런 시도를 하다가 우연히 회사 내부 통신이 유출된 것을 발견한 후 해킹 사실을 알게 되었다”는 것이다.

이에 또 다른 컴퓨터 보안 전문가들이 노출된 이메일 내용을 검토, 그 진위를 확인했다. 그 결과 NPO 매쉬에 의해 통제되는 ‘키 집합’을 통해 이메일의 암호화 서명을 확인함으로써 해킹 가능성을 확인했다.

특히 ‘센티넬원’은 사이버 스파이들이 이전에 알려진 악성코드와는 다른 수법의 하나로 설치된 악성 인프라를 재사용한 점을 발견, 북한이 이번 해킹의 배후에 있다고 확신했다.

“해킹 불구, 북한이 같은 능력 보유 어려워”

한편 2019년 블라디미르 푸틴 러시아 대통령은 NPO 매쉬의 ‘지르콘’ 극초음속 미사일을 음속의 약 9배 속도로 이동할 수 있는 “유망한 신제품”이라고 추켜세웠다.

그러나 “북한 해커들이 지르콘에 대한 정보를 입수했다고 해서 즉시 같은 능력을 보유할 수 있는 것은 아니다”라는게 전문가들의 의견이다.

그럼에도 “러시아 최고의 미사일 설계자이자 생산자인 ‘NPO 매쉬’의 위치를 고려할 때 이 회사는 가치 있는 (해킹) 목표인 셈”이라는 얘기다.

북한으로선 또 다른 관심 분야가 있다. 즉 “NPO 매쉬 주변 연료에 사용되는 제조 공정일 것”이라는 전문가들의 해석이다.

실제로 북한은 지난달 ICBM 최초로 고체 추진체를 사용한 화성-18형을 시험 발사했다.

이러한 연료 공급 방식은 발사대에 연료를 공급할 필요가 없기 때문에, 발사 전에 미사일을 추적하고 파괴하는 것을 더 어렵게 만든다. 또 실전이 벌어지면, 미사일을 더 빠르게 배치할 수도 있다.

‘NPO 매쉬’는 앞서 SS-19라는 이름의 ICBM을 생산해왔다. 이는 공장에서 아예 연료를 주입하고 밀봉함으로써 효율적인 전략적 결과를 기하고 있다.

전문가들은 그래서 “북한은 2021년 말부터 이같은 고체 연료 기술에 주력해왔다”면서, “어쩌면 러시아 ‘NPO 매쉬’에 대한 해킹 역시 그런 의도가 더 크게 작용했을 수도 있다”는 해석도 뒤따른다.