[단독] 러시아, 갑자기 한국 국방 노리기 시작?

국가의 지원을 받는 해킹 조직들이 방산 기업들을 집요하게 노리고 있다. 이는 구글이 2026년 뮌헨 안보회의를 앞두고 발표한 보고서를 통해 경고된 내용이다. 이 보고서는 현재 구글의 블로그를 통해 공개돼 있으며, 주로 서방 국가들이 겪는 위협을 위주로 작성돼 있으나, 한국도 주요 피해자 중 하나로 언급돼 관심을 끌고 있다.

러시아의 APT 조직, 활동 범위 넓히다

철저히 미국과 EU를 위주로 작성된 보고서에 한국이 등장한 건 “국가의 지원을 받는 해킹 부대들 중 일부가 광범위하게 활동하기 시작했다”는 맥락에서다. “해커들은 영국, 미국, 독일, 프랑스, 스웨덴, 노르웨이, 우크라이나, 터키, 한국에 있는 수백 개의 방산 관련 조직들을 노리고 있다”는 대목이다. 공격자들은 이런 기업들의 웹사이트를 똑같이 복제함으로서 관련자 정보를 탈취하려 했다고 한다.

여기서 말하는 APT는 ‘현존하는 모든 APT’가 아니다. 일단 구글 보고서 내용 한정으로 보면 “러시아 정부와 관련이 있는 UNC5976이라는 조직”을 말한다. 이 조직은 수많은 국가들의 방위 산업을 노리기 위해 공격 인프라를 구축했는데, 이 인프라에 한국 기업들도 다수 포함돼 있었다는 게 보고서의 내용이다. 다만 구체적인 내용이 빠져 있어 어떤 기업이 공격 대상인지, 어떤 피해가 있었고, 어떤 수법이 사용되는지는 알 수 없다. ‘웹사이트 복제’가 언급된 걸로 보아 크리덴셜 탈취 공격이 예상되기는 한다.

이는 매우 이례적인 일이다. 러시아 APT 조직들이 한국을 노린 사례는 극히 드물기 때문이다. 한국의 외교 및 보안 연구 기관의 정보를 빼돌리거나, 여러 에너지 관련 정책 및 기술 문서를 훔쳐내는 경우는 있었지만 군사 관련 정보를 탐낸 적은 없다. 러시아는 EU와 미국을 최우선적으로 공격해왔지, 한국에 관심을 가져본 적이 없다. 왜 갑자기 러시아 APT가 한국 군 정보를 노리게 된 건지 구글은 분석하지 않았다.

보고서 전체에 등장하는 ‘Korea’는 총 10번

적잖은 분량의 보고서에 ‘Korea’라는 단어는 총 10번 나온다. 그 중 South Korea는 3번, 나머지 7번은 North Korea다. 각국 국방 산업을 겨냥한 위협에 북한 해커는 빠질 수 없는 존재다. 북한은 한국 방산 분야를 노리는 가장 큰 위협 중 하나이기도 하며, 이번 구글 보고서에서 북한이 언급될 때 피해자로서 한국이 등장하기도 한다. 

구글에 따르면 북한 APT 조직인 APT45가 스몰타이거(SMALLTIGER)라는 멀웨어를 한국의 국방, 반도체, 자동차 기업에 퍼트렸다고 한다. 국방 관련 정보를 훔치려는 시도이기도 했지만 지적재산을 노린 행위로 분석되고 있기도 하다. APT45의 또 다른 이름은 김수키(Kimsuky)이며, 스몰타이거는 정보 탈취 기능을 가진 백도어의 일종이다. 구글은 한국 피해 기업의 이름을 밝히지 않았다. 한국 국가정보원은 북한이 무기에 탑재할 반도체 기술을 강화하기 위해 한국 기업들로부터 지적재산을 탈취하려 했다는 내용의 보고서를 2024년 발표한 바 있으며, 이 사실이 이번 구글 보고서에도 언급됐다.

참고로 북한 APT 조직들이 다른 나라 국방 산업을 노릴 때 주로 ‘사기 채용’ 기법을 쓴다고 구글은 경고했다. 가짜 IT 인력인 것처럼 위장한 후 서방 기업들에 ‘원격 근무자’로서 고용되는 것을 말한다. 기업에 쳐들어간 뒤 개발자로서 근무하며 높은 급여를 받는 것은 물론(이 돈은 전부 북한 국고로 들어가는 것으로 알려져 있다), 기업 내부에서 민감 정보를 손쉽게 빼돌릴 수도 있게 된다. 서방 기업들은 이 때문에 골머리를 앓고 있으며, 얼마 전에는 보안 책임자가 속을 뻔했다는 ‘간증문’이 IT 외신 더레지스터에 올라오기도 했었다.

서방 국가들의 경우

한편 ‘해커들이 국방 산업을 노린다’는 건 정확히 어떤 의미인지도 이번 보고서에 설명됐다. ‘국방 기관들과 계약을 맺고 있는 수많은 종류의 기업들이 끊임없는 해킹 시도에 시달린다’라는 것이 구글의 설명이다. “보통은 항공우주 기업이나 중장비 기업, 무기 제조사 등이 주요 표적이었는데, 이제는 자동차, 정밀기계, 베어링, 소재, 배터리, 에너지, AI, 소프트웨어 등 ‘군과 민이 다 사용하는 기술’까지도 이들의 공격 대상이 됩니다.”

이와 같은 ‘군민겸용 기업’으로 표적이 옮겨간 것은 다음과 같은 이유 때문인 것으로 분석된다.
1) 방산 기업들은 보안이 너무 강함. 반면 자동차, 정밀기계, 베어링, 소재, 배터리 등의 기업들은 평시에는 그저 ‘민간기업’일 뿐이라 보안이 비교적 덜 여문 편.
2) 공급망 공격 혹은 서드파티 공격 시나리오 구현 가능. 군민겸용 기업들은 방산 기업들과 연계돼 있기 때문에 이들을 먼저 뚫어내면 결국 방산 기업들로도 침투할 가능성이 생김. 즉 또 다른 공격 루트가 확보되는 것.

이런 흐름을 두고 구글은 “중대한 변화”라 경고한다. “해외 스파이에 대해 방산 기업만 경계 태세를 강화하는 게 아니라, 이제 모든 산업이 방산 기업 수준으로 보안을 강화해야 한다는 의미가 되기 때문입니다. 국방에 투입되는 기술이 다양해지면 질수록 APT가 노릴 곳은 많아집니다. 국방을 위한 중요한 기밀에 공격자들의 손이 닿을 확률이 높아진다는 뜻도 됩니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Google Mandiant APT43 North Korea hacking South Korea targets - Axios, 2023년
• Google Threat Intelligence North Korea cyber operations South Korea - Google Cloud, 2024년
• 비상계엄 테마 APT 공격과 Kimsuky 그룹 연관성 분석 - 지니언스, 2024년
• Coinbase cyber criminals account data theft potential Korea links - Reuters, 2025년

구글과 애플, 일본에서 어금니 깨물고 “열어줄게”

💡Editor’s Pick - 일본에서 새로운 디지털 시장 경쟁법 시행 - 구글과 애플, 여러 가지 변화 도입...애플 수수료 파격 인하 - 한국이 두 회사 건드린 최초 국가...하지만 실효성 떨어져 구글과 애플이 서드파티 앱 마켓을 일본에서 허용하겠다고 발표했다. 오랜 시간 자사 플랫폼들을 통해서만 앱 유통과 결제를 허용했던 두 회사가 갑자기

더테크엣지(The Tech Edge)문가용 기자