불상의 해커들이 가짜 사이트를 만들어 해킹을 시도했던 현대차그룹의 사내 인트라넷 '오토웨이'

현대자동차그룹 계열사 임직원이 이용하는 사내 인트라넷을 위장한 피싱 사이트가 등장했다가 3일 오후 갑자기 사라졌다. 북한 해커들이 제넥신, 셀트리온 등 국내 제약사 4곳에 대한 해킹 공격을 개시했다는 2일 외신 보도 직후, 비슷한 해킹이 또 발생해 이번에도 북한 소행이 아니냐는 추정이 나오고 있다.

◇현대차그룹 노린 피싱사이트 등장

3일 보안 업계에 따르면 현대제철, 현대건설, 등 현대차그룹 계열사 임직원들이 사용하는 인트라넷을 똑같이 본뜬 해킹용 ‘가짜 인트라넷'이 이번주 개설됐다가 돌연 사라졌다. 인터넷 주소뿐만 아니라 아이디, 비밀번호를 입력하는 창까지 비슷해 한 눈에 차이를 알아보기 어려울만큼 정교한 수준이었다. 보안 업계는 해커들이 이 사이트를 현대차그룹 임직원에게 이메일 등을 통해 보낸 다음 접속을 유도, 개인 정보를 탈취하려 했던 것으로 보고 있다. 이 사이트는 3일 오후 돌연히 사라졌다.

현대차그룹 관계자는 “현대차, 기아차를 제외한 계열사들이 쓰는 ‘오토웨이' 사이트를 사칭한 공격이 있었지만 보안시스템을 통해 차단했고 피해사례는 없는 것으로 파악됐다”고 말했다.

◇북한 해커 소행 가능성

보안 업계에서는 이번 해킹 시도가 북한의 소행일 가능성에 주목하고 있다. 로이터통신은 2일(현지 시각) 북한이 9월부터 국내 제약사 4곳을 포함한 최소 9곳의 대형 제약사, 기관을 공격했다고 보도했다. 영국 아스트라제네카와 미국 존슨앤드존슨, 노바백스를 비롯해 한국의 제넥신과 셀트리온, 신풍제약, 보령제약 등 제약사 4곳도 공격 대상에 포함된 것으로 전해졌다. 북한은 해당 제약사들의 로그인 포털과 비슷한 ‘가짜 포털’을 만들어 직원들의 로그인을 유도한 뒤, 직원들의 아이디 정보들을 탈취하는 방법을 사용한 것으로 알려졌다. 월스트리트저널(WSJ)은 이 공격 배후에 있다고 의심되는 그룹이 북한 해킹 조직 ‘킴수키(Kimsuky)’라고 전했다. 이번 현대차그룹 해킹 시도와 동일한 수법이다.

한 보안 전문가는 “북한이 코로나 관련 정보 등 판매 혹은 무기화할 수 있는 정보를 목표로 지속적인 해킹을 시도하고 있는 것으로 보고있다”고 했다.