파이어아이 “북 해킹조직 '안다리엘' 한국 방산업체 KAI 공격”

제 사이버보안 업체인 '파이어아이(FireEye)'는 6월초부터 한국 항공∙우주산업(KAI)에 대한 북한의 사이버공격 활동(activity)을 인지하고 있었다고 지난달 30일(현지시각) 밝혔다. 해킹으로 차세대 전투기 KF-21 전투기 설계도면과 차기 군단급 무인기 정보 등이 유출된 것으로 알려졌다.


파이어아이의 프레드 플랜(Fred Plan) 위협정보 선임분석관은 이날 자유아시아방송(RFA)에 이같이 말하고 이러한 사이버공격은 북한 해킹조직인 '안다리엘(Andariel)'에 의해 이뤄지고 있다고 설명했다.

안다리엘은 지난 2019년 9월 미국 재무부가 북한의 다른 해킹조직인 라자루스, 블루노로프와 함께 특별제재 대상으로 지정한 단체다.

RFA에 따르면, 플랜 분석관은 안다리엘은 새로운 멀웨어(Malware), 즉 악성소프트웨어를 사용하고 있다면서 한국 방산업체인 한국항공우주산업(KAI) 해킹은 현재로서는 북한의 다른 해킹조직인 '김수키(Kimsuky)' 소행 같지는 않다고 추정했다.

올해 두 차례 이뤄진 KAI 해킹 시도로 차세대 전투기 KF-21 보라매 설계도면과 관련 기술정보 등이 유출된 것으로 알려졌다. 경찰과 군, 정보당국은 지난달 28일부터 해킹사건을 수사하고 있다. 차기 군단급 무인기, FA-50 경공격기, 수리온 헬기 등 KAI의 전력사업 정보 탈취도 이뤄졌을 가능성이 있는 것으로 알려졌다.

플랜 분석관은 지난 5월 한국원자력연구원 해킹은 김수키의 방식과 일치한다고 밝혔다.

앞서 국회 정보위원회 소속 하태경 의원은 지난달 18일 국회에서 기자설명회를 열고 한국 원자력연구원에 대한 사이버침해 자료를 공개했다. 하 의원에 따르면 지난 5월14일 승인되지 않은 13개 외부 IP가 한국원자력연구원 내부망에 무단접속했다. 하 의원은 북한 사이버테러 전문 연구단체인 ‘이슈메이커스랩’을 통해 무단접속 IP의 이력을 추적한 결과, 이 가운데 일부가 북한 정찰총국 산하 해커조직인 ‘김수키’의 해킹 서버로 연결된 사실을 확인했다고 설명했다.
공개된 자료에 따르면 한국원자력연구원 관련 해킹은 '펜슬다운(Pencildown)'이라는 악성 소프트웨어가 사용됐는데 이것은 김수키와 또 다른 해킹조직이 사용하는 것이라고 파이어아이 측은 밝혔다.


박희준 글로벌이코노믹 기자 jacklondon@g-enews.com