사례 1. 홈페이지 유지 보수 업체를 통한 방산 기관 우회 침투

북한 해킹 조직은 2022년 말 해양·조선 기술을 연구하는 기관에 침투했다. 북한 해킹 조직은 방산 기관에 직접 침투하기 보다 보안이 취약한 유지 보수 업체를 먼저 해킹해 서버 계정 정보를 확보한 후 기관 서버 등에 무단 침투하고 모든 직원을 대상으로 악성코드 유포를 시도했다. 악성코드가 배포되기 전에 발각되자 해킹 조직은 직원들에게 스피어피싱 이메일을 발송하는 등 다양한 추가 공격을 시도했다.

국정원은 “북 해킹 조직은 코로나로 원격 유지 보수가 허용된 상황을 틈타 유지 보수 업체를 이용해 내부 서버 침투를 많이 시도했다. 국가와 공공 기관에서 협력 업체의 원격 유지 보수가 필요한 경우 국가정보보안지침 제26조(용역업체 보안)를 참고해 주기 바란다”고 말했다.

사례 2. 구인 업체 관계자 위장 후 방산 업체 직원 해킹

북한 해킹 조직 라자루스는 방산 업체에 침투하기 위해 2020년 중반부터 사회공학적 공격 수법을 사용해온 것으로 파악되고 있다. 이들은 먼저 링크드인 등에 채용 담당자로 위장 가입해 방산 업체 직원에게 접근, 대상자가 관심을 가질 만한 사소한 이야기를 나누며 친밀감을 쌓는데 주력했다. 이후 북한 해커는 이직 상담을 핑계로 왓츠앱, 텔레그램 등 다른 소셜 미디어로 유인하고 일자리 제안 PDF 발송 등을 통해 악성코드 설치를 유도했다.

양 기관은 북한이 군사력 강화를 정권 우선순위에 두고 전 세계를 대상으로 방산 첨단 기술 절취에 주력하면서 절취 기술을 정찰 위성·잠수함 등 전략 무기를 개발하는 데 활용하고 있다고 판단하고 있다. 또한 북한의 사회공학적 해킹 공격을 예방하기 위해서는 사례 교육과 함께 직원들이 의심스러운 상황 발생 시 편하게 신고할 수 있는 개방적 문화를 구축하는 것이 중요하다고 강조했다.