사건 개요
- 북한의 대표적인 해킹조직 3곳이 국내 방산기술 탈취를 공통 목표로 해 최소 1년 6개월 전부터 국내 방산업체 해킹 시도 및 피해
피해 규모
- 국내 방산업체 총 83곳 중 10여 곳이 해킹당했지만 구체적인 피해 규모는 추산되지 않음
- 경찰은 북한의 해킹 공작 흐름을 확인하는 과정에서 입수한 자체 첩보와 관계기관 간 사이버 위협 정보 공유를 토대로 국내 방산업체 10여 곳이 해킹당한 사실을 인지
원인
- 북한 해킹조직 라자루스·안다리엘·김수키가 국내 방산기술 탈취를 노리고 합동으로 공격
- 공격에 사용된 IP 주소와 악성코드(Nukesped, Tiger RAT 등), 소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식 등을 근거로 북 해킹조직의 소행
- 일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일
- 협력업체를 해킹해 방산업체의 서버 계정정보를 탈취한 후 주요 서버에 무단으로 침투해 악성코드를 유포하는 수법
- 2022년 11월부터 방산업체 A사의 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악
- 이후 개발팀 직원 컴퓨터 등 내부망 컴퓨터 6대에서 중요자료를 수집해 국외 클라우드 서버로 전송
- 안다리엘의 경우 2022년 10월께부터 방산 협력업체 B사 등을 원격으로 유지·보수하는 C사의 계정정보를 탈취해 B사 등의 서버에 악성코드를 설치한 후 방산기술 자료 탈취
- 안다리엘은 C사 직원의 개인 상용 이메일 계정정보를 알아낸 뒤 사내 이메일로 접속해 송수신 자료를 탈취한 것으로 파악일부 직원들이 상용 이메일 계정과 사내 업무시스템 계정에서 동일한 아이디와 비밀번호를 사용하는 허점을 악용
- 김수키는 작년 4∼7월 방산 협력업체 D사의 이메일 서버에서 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 내려받을 수 있는 취약점을 악용해 기술자료 탈취
'정보보안 > 사건사고' 카테고리의 다른 글
| 2024.4.30 해킹사고 - 치과 의원 해킹 (0) | 2024.04.30 |
|---|---|
| 2024.4.26 해킹사고 - 회사 내부망에서 개인정보 노출 (0) | 2024.04.26 |
| 2024.4.22 해킹사고 - 근로복지공단 고용보험 가입자 개인정보 유출 (0) | 2024.04.22 |
| 2024.4.22 해킹사고 - 채무자 개인정보 불법 공유 및 판매 (0) | 2024.04.22 |
| 2024.4.22 해킹사고 - 알리 유령결제 (0) | 2024.04.22 |