침해사고/위협동향

北 “원자력연구원·KAI 공격 우리 아냐”··· 국내외 보안기업·국정원은 “북한 추정”

이종현
[디지털데일리 이종현기자] 한국원자력연구원 및 한국항공우주(KAI)를 노린 사이버공격이 북한 소행으로 추정되는 가운데 북한 선전매체 ‘우리민족끼리’에 이를 부인하는 논평이 게재됐다.

12일 우리민족끼리 홈페이지에 게재된 ‘고질적버릇, 상투적수법’이라는 제목의 논평은 북한 해킹설을 “황당무계한 모략”이라며 “저들의 불찰과 저열한 기술로 인해 해킹을 당했으면 내부에서 그 원인을 찾아야지 아무련 관련도 없는 대상과 억지로 연결시킨다”는 주장을 담았다.

또 “인터넷에서 벌어지는 대부분의 해킹이 다른 사람 혹은 집단의 수법이 교묘하게 도용된다는 것은 초보적인 상식”이라며 “무작정 ‘북소행’으로 몰아가는 것은 무지의 극치”라고 비판했다.

북한 해킹설이 보수 정당·언론에서 제기하는 정치적 공격이라는 주장도 펼쳤다. 논평의 글쓴이는 “북한 해킹설은 동족에 대한 불신과 대결 분위기를 조장해 정권 탈환에 유리한 환경을 마련해 보려는 현대판 양치기소년극에 지나지 않는다”고 했다.

이와 같은 주장은 국내·외 보안 전문가들의 분석과 상이하다.

국내 북한 사이버테러 전문연구그룹 이슈메이커스랩은 하태경 의원(국민의힘)으로부터 원자력연구원 해킹 분석을 의뢰받아 공격 IP를 추적한 결과, 작년 북한 정부의 지원을 받는 것으로 추정되는 ‘김수키’가 사용한 북한 해커 서버로 연결된 것이 확인됐다. 해당 서버는 미국 사법당국에 의해 분석된 것으로, 작년 코로나19 백신 제약회사를 공격할 때 사용한 서버다.

북한의 사이버공격을 추적하는 이스트시큐리티도 원자력연구원 공격을 북한 해킹조직 ‘탈륨’으로 지목했다. 탈륨은 김수키의 다른 이름이다.

또 대만 사이버보안 인텔리전스 업체 팀티파이브는 원자력연구원의 직원 이름과 이메일 주소, 사내 연번(아이디), 비밀번호, 부서, 직책 등이 기재된 명단이 김수키에 의해 공유됐다고 밝혔다. 북한 해킹조직이 주고받은 이메일에는 원자력연구원 직원의 재택근무 여부까지 포함된 것으로 알려졌다.

글로벌 보안기업 파이어아이는 KAI 해킹의 배후로 북한 해킹조직 ‘안다리엘’을 꼽았다. 지난 1일 파이어아이의 프레드 플랜 위협정보 선임분석관은 미국 북한전문매체 자유아시아방송(RFA)서 “지난달 초부터 한국 국방·우주 업체를 겨냥한 북한의 사이버공격 활동을 인지하고 있었다”며 공격자로 안다리엘을 지목했다.

국가정보원도 북한 소행으로 추정된다고 공식 입장을 전했다. 지난 8일 국회 정보위원회에 참석한 박지원 국정원장은 “지난달 1일 원자력연구원에 피해 신고가 들어와 조사 중”이라며 “해킹 수법을 고려할 때 북한 연계 조직으로 추정된다”고 보고했다.

국내 보안 전문가는 “사이버공격의 특성상 100% 범인을 찾는 것은 어려운 일이다. 하지만 보안 전문가들이 단순히 ‘우리 기업·기관이 해킹됐으니 북한 소행일 거야’라는 식으로 접근하지는 않는다”며 “해커들이 주로 사용하는 공격 수법, 버릇, 경로, 대상 등을 복합적으로 분석한다”고 말했다.

또 그는 “북한은 전 세계에서 수위를 다투는 해킹 능력을 보유한 국가다. 전 세계 보안기업 다수가 북한 해커조직의 동향 하나하나를 추적·분석한다. 이들 기업 모두가 근거 없이 북한을 지목한 것은 분명한 이유가 있다”며 북한 해킹설에 힘을 실었다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널