한화 美법인 거래처 정보, 다크웹서 유포

한화 거래처인 美 방산 제품 제조사, 랜섬웨어 공격 당해
한화 머니션·한화 인터내셔널 내부 서류 다크웹서 유포
기술지원협정 체결 등 정보 담겨…한화 "피해 없다" 일관

랜섬웨어 공격 집단 '인터록'(Interlock) 다크웹에 한화그룹 미국 법인 관련 정보들이 게시돼 있다./사진=다크웹 사이트 캡처

[인더스트리뉴스 김기찬 기자] 한화그룹 미국 법인과 기술 협력을 추진하던 외국기업이 랜섬웨어(Ransomware) 공격을 받으면서 한화그룹 미국 법인과의 협력 관련 내부 서류들이 다크웹(특수 경로로만 접속 가능한 웹)에 유포되고 있는 것으로 드러났다.

19일 업계에 따르면 최근 랜섬웨어 공격 집단 '인터록'(Interlock)은 자신들의 다크웹 사이트에 미국 방산 제품 제조사인 'Tech Ord'의 자회사 'AMTEC'에서 탈취한 10.9메가바이트(MB) 규모의 데이터를 게시했다.

보안업계 전문가가 인터록 다크웹에 직접 접근해 해당 자료들을 살펴본 결과, 한화그룹 미국 법인인 '한화 머니션'(Hanwha Munitions Corporation)과 '한화 인터내셔널 LLC'(Hanwha International LLC. Cop)와 AMTEC 간 미군 훈련용 수류탄 'M69'의 기폭장치 수출·기술이전 관련 서류들인 것으로 확인됐다.

인터록이 공개한 파일 중 미국 국무부가 발행한 AMTEC와 한화 머니션, 한화 인터내셔널 LLC 간 수출 조건부 승인 허가서 첫 페이지./사진=인터록 다크웹 캡처

구체적으로 △2023년 1월5일 한화의 국제 법인 및 탄약 회사와 M69 접촉장치 관련 기술을 협력하기 위한 합의서 파일 △2023년 1월 한화머니션이 신청해 미국 국무부에서 발행한 반려된 무기수출 관련 신청서 △2023년 4월 미국 국무부가 발행한 수출 조건부 승인 허가서 △기술지원협정(TAA) 계약서 △TAA 계약을 위한 한화 관계자들의 CSL(통합 제재 대상자 명단) 조회 결과 △M69 수출에 대한 공식 계약서 초안 및 관계자 서명 스캔본 △2023년 8월 AMTEC 현장에 방문한 한화 관계자들이 서명한 일지 복사본 등 M69 수출 및 기술협력과 관련한 서류들이 포함돼 있었다.

AMTEC와 한화인터내셔널 및 한화머니션의 M69 접촉장치 관련 기술지원 합의서(위)와 한화인터내셔널, 한화머니션, AMTEC 관계자가 서명한 합의서 스캔본./사진=인터록 다크웹 캡처

2023년 초 AMTEC가 한화그룹 미국 법인과 M69 접촉장치 관련 기술 협력을 추진했고, 수출을 위해 미국 국무부에 관련 절차들을 진행한 문서들로 추정된다. 이후 AMTEC가 TAA 체결을 위해 절차상 미국의 수출통제 등 제재 대상자인지 확인하기 위해 한화그룹 미국 법인과 관계자들을 조회한 흔적들도 확인된다.

2023년 8월 AMTEC 외부 방문자 일지에 한화인터내셔널 관계자가 기명한 서류 스캔본./사진=인터록 다크웹 캡처

그 이후엔 한화그룹 미국 법인 측의 AMTEC 현장 방문도 이뤄진 것으로 추정된다.

이같은 내용을 다크웹에서 직접 확인한 보안 전문가는 "합의서, 방문 일지 등에서 반복적으로 등장하는 한화그룹 미국 법인 측 관계자들의 이름과 AMTEC 측 관계자들의 이름이 적힌 메일이 오고간 정황도 발견됐다"며 "AMTEC나 한화그룹 미국 법인 측에서 메일시스템을 통한 데이터 탈취 시도가 있었고, 관련 정보들이 유출된 것으로 보인다"고 해킹 공격 전반에 대해 설명했다.

문제는 인터록이 해당 정보들을 암호화해 놓지도 않아 다크웹상에서 즉시 확인이 가능한 상태로 유포되고 있다는 점이다.

통상적으로 랜섬웨어 공격 집단들은 기업 혹은 기관의 정보를 탈취한 후 암호화해 놓고, 자신들의 다크웹에 금전 지불 기한인 '데드라인'을 걸어 놓는다. 일부 악질 집단의 경우에는 탈취한 정보를 일부만 보여주고, 다크웹을 찾은 이용자들에게 정보를 판매하기도 한다.

이에 인터록이 거리낌없이 탈취한 정보들을 공개하고 있다는 점을 감안하면 급속도로 해당 정보들이 퍼질 수 있다는 우려가 제기되고 있다.

한편 대기업의 협력사들은 대기업에 비해 보안 역량이 부족하기 때문에 해커들의 타깃이 될 가능성이 높다. 이에 따라 대기업 협력사들의 정보를 탈취해 이를 바탕으로 대기업에 공격 시도를 하고 정보를 빼내는 해킹 사례도 점차 늘어나는 추세다. 대기업 해킹에 협력사들이 '우회로'로 악용되고 있는 셈이다.

따라서 보안업계에서는 대기업들이 자사뿐 아니라 협력사들의 보안 역량 강화에도 적극 나서야 한다는 주문도 잇따르고 있다. 실제로 지난해 11월 현대차의 협력사가 해킹 공격을 받으면서 현대차 측 정보들이 다크웹 등에서 유포된 사례도 있다.

보안업계 관계자는 "협력사들은 대기업에 비해 정보보호 역량이 부족하기 때문에 상생의 차원에서라도 대기업들이 협력사에 대한 정보보호 지원이 이뤄져야 한다"고 조언했다.

하지만 한화그룹 측은 아무런 피해가 없다며 한화 측과 아무 관계가 없다는 식으로 일관하고 있다. 한화그룹 관계자는 "한화그룹 미국 법인 측과 거래를 하려는 회사(AMTEC)가 랜섬웨어 공격을 받은 것이기 때문에 한화 쪽 보안 위협 등의 피해는 전혀 없다"고 강조했다.