2개의 북한 해킹 조직이 2021년 말부터 작년 5월까지 5개월 이상에 걸쳐 러시아의 주요 미사일 개발업체를 해킹했으며, 이후 북한은 지난 4월13일과 7월12일 최초로 고체 연료를 사용한 대륙간탄도미사일(ICBM)으로 개발 중인 화성-18호를 시험 발사했다고, 미국의 사이버 보안업체인 센티널원(SentinelOne)과 로이터 통신이 7일 보도했다.

센티널원 측은 관련 보고서에서 북한 정찰총국 소속 해킹 조직인 ‘라자루스(Lazarus)’와 스카크러프트(ScarCruft)’가 5개월 이상 모스크바 근교의 류토프에 위치한 로켓(미사일) 제조사인 NPO 마쉬노스트로예니야(NPO 마쉬)를 해킹했다고 밝혔다.

NPO 마쉬는 냉전 시절에 러시아의 우주 프로그램을 위한 인공 위성 제조와 순항미사일 개발로 성장했으며, 현재는 극초음속(hypersonic) 미사일과 위성 기술, 차세대 탄도미사일 디자인ㆍ개발에서 첨단 기업으로 꼽힌다. 이 세 분야는 북한이 미국을 타격할 ICBM을 개발하는데 있어서 핵심적인 분야이기도 하다.

군사ㆍ사이버 전문가들은 북한 해커들이 이번 해킹을 통해, NPO 마쉬가 사용하는 로켓 연료(추진제) 제조 공정을 빼내 갔는지에 주목한다. 지난달 12일 북한은 고체 연료를 사용한 첫 ICBM인 화성-18호를 2차 시험발사했다.

전시(戰時)에 고체연료로 추진되는 미사일을 발사하면, 액체연료 주입에 필요한 시간을 대거 단축할 수 있다. 따라서 고체연료를 장착한 미사일은 상대국이 발사 준비 단계에서부터 추적해 (속도가 낮은) 발사 직후에 공격 파괴하는 것이 힘들어진다. 독일 ST 애널리틱스의 군사 전문가인 마쿠스 쉴러 박사는 “북한의 화성-18호 ICBM이 러시아제 ICBM과 크기 모양 설정 성능에서 매우 비슷한 점에 놀랐다”고 말했다.

NPO 마쉬는 또 2019년 블라디미르 푸틴 대통령이 음속의 9배로 날 수 있는 “유망한 새 병기”라고 자랑한 ‘지르콘(Zircon)’ 극초음속 미사일도 개발한 업체다. 지르콘은 2021년 10월 처음 시험발사됐고, 푸틴은 지난 1월 신형 호위함인 에드머럴 고르시코프 함에 장거리 극초음속 지르콘이 장착됐다고 발표한 바 있다.

 

그러나 쉴러 박사는 로이터 통신에 “북한이 고체 로켓연료나 지르콘에 대한 정보를 확보했다고 할지라도, 기본 설계도에서 실제 제품을 제조하기까지에는 많은 과정을 거쳐야 해 북한이 그 같은 초음속 미사일 제조 능력을 즉시 보유하는 것은 아니다”라고 말했다.

북한 해커들이 구체적으로 어떤 정보를 탈취했는지는 알려지지 않았다. 그러나 이 ‘디지털 침입’이 있은 지 수개월 뒤에 북한은 금지된 탄도미사일 프로그램에서 ‘기술적 돌파’에 해당하는 화성-18호 시험 발사 사실을 공개했다.

전문가들은 이 해킹 사건은 “북한과 같이 고립된 국가도 어떻게 러시아와 같은 동맹국을 상대로도 핵심적인 기술을 습득할 수 있는지를 보여준다”고 로이터 통신에 말했다.

한편, 북한의 두 해킹 조직이 NPO 마쉬를 해킹한 사실은, NPO 마쉬의 한 IT 전문가가 북한의 해킹 사건을 내부적으로 조사하면서 오고간 이메일 등의 내부 자료를 전세계 사이버 보안전문가들이 사용하는 포털에 실수로 게재하면서 드러났다.

미국 사이버 보안 기업인 센터널원의 보안 전문가인 톰 헤겔은 NPO 마쉬의 이 내부 이메일을 검토한 결과 이전에 북한의 해킹 흔적에서 나타나는 전형적인 특성을 발견했으며, 이후 NPO 마쉬 측도 미처 파악하지 못했던 대규모 침입을 확인했다고 밝혔다. 센티널원 측은 2개의 북한 해킹 조직이 이 회사 시스템에 백도어(backdoor) 해킹으로 불법 설치한 악성 코드를 통해 원격 접속해 이 회사의 이메일을 습득하고 내부 네트워크들을 옮겨가며 자료를 추출할 수 있었던 것으로 파악했다.

백도어 해킹은 해커가 시스템의 보안 취약점을 찾아내, 정상적인 인증 없이 컴퓨터와 암호 시스템에 접근할 수 있도록 해킹하는 것이다. 또 2명의 독립적인 보안 분석가는 NPO 마쉬 측이 공개한 이메일의 암호화된 서명을 체크해서 전문가 포털에 공개된 메일이 NPO 마쉬의 것임을 확인할 수 있었다.

센티널원 측은 북한이 기존에 다른 해킹을 시도하면서 구축한 악성 맬웨어(amlware)와 인프라를 동일하게 사용했기 때문에, 러시아 방산기업 NPO 마쉬에 대한 해킹을 북한의 소행으로 본다고 밝혔다.

이 기관의 헤겔 수석 연구원은 “특정 이메일 서버를 포함해 NPO 마쉬의 민감한 내부 IT 인프라에 대한 북한 공격 사례 2건이 확인됐다”며, “우리는 이메일 서버 침투는 북한 해킹 조직 스카크러프트의 소행으로 보며, 백도어 공격은 라자루스 그룹의 소행과 같은 수법이라는 것을 확인했다”고 밝혔다.