2025.10.30 한화에어로스페이스 호주 정보유출 사건 정리

1. 개요

• 이란과 연계된 친-하마스 해커 그룹 사이버 투판(Cyber Toufan)이 이스라엘 방위산업체들을 대상으로 한 공급망 해킹 캠페인에서 한화에어로스페이스 호주 법인(Hanwha Defence Australia, HDA)의 정보가 유출되었습니다.
• 사이버 투판은 2025년 10월 30일 텔레그램을 통해 유출 정보를 공개했으며, 이란의 배후 지원을 받는 국가 지원 공격으로 추정됩니다.​
• 호주 국방군의 랜드400(Land 400) 업그레이드 프로그램은 약 70억 달러(약 10조 2000억 원 규모)의 대규모 무기 조달 사업으로, 한화에어로스페이스가 공급하는 레드백(Redback) 보병 전투차량(IFV)이 핵심입니다.​

 

2. 피해범위

 - 사이버 투판은 이스라엘 국방 산업에 직간접적으로 서비스를 제공하는 17개 기관 및 회사를 해킹했다고 주장했습니다. 

 - 주요 피해 대상은 다음과 같습니다.​

• 마야 엔지니어링(MAYA Technologies): 초기 침투 지점으로 1년 6개월(약 18개월) 동안 완전한 네트워크 접근 권한 확보
• 이스라엘 엘빗 시스템즈(Elbit Systems): 레드백 장갑차의 원격 조작 포탑(원격 무기 시스템) 공급사
• 이스라엘 라파엘(Rafael Advanced Defense Systems): 미사일 및 방공 시스템 개발사

 - 해킹 그룹은 확보한 데이터의 규모를 수십 테라바이트로 표현했습니다.​

 

3. 유출항목

 - 유출된 정보의 구체적인 내용은 다음과 같습니다.​

  > 한화 레드백 관련 정보

• 레드백 전투차량의 3D 렌더링(3차원 모형)
• 기술 도면 및 설계도
• 아이언 비전 시스템(Iron Vision System) 및 원격 조작 포탑 도면
• 차량 부품 이미지
• 조종석 시뮬레이터 관련 정보

 

  > 이스라엘 방위 시스템 정보:

• 아이언 돔(Iron Dome) 설계 정보
• 레이저 돔(Laser Dome) 데이터
• 애로우 미사일 시스템(Arrow Missile System) 설계 정보
• 다비드 슬링(David's Sling) 방공 미사일 정보
• 아이언 빔 450(Iron Beam 450) 레이저 방어 시스템 데이터

 

  > 기타 민감 정보

• 직원 사진 및 보안 카메라 녹화 영상(112개의 주요 회의 영상 포함)
• 음성 통화 기록
• 행정 및 기술 문서
• 호주 국방군과 이스라엘 간의 스파이크 NLOS 장거리 대전차 미사일 협상 관련 자료
• 60명 이상의 방위산업 종사자 신원 정보

 

4. 원인

 - 공급망을 통한 계층적 침투(Supply Chain Attack)

• 사이버 투판은 마야 엔지니어링의 네트워크에 접근한 후 이를 발판으로 엘빗과 라파엘 같은 주요 방산 기업의 내부 네트워크에 침투했습니다.

 

 - 해킹 그룹이 공개한 성명에 따르면

• "1년 반 동안 마야 엔지니어링의 네트워크에 완전한 접근 권한을 확보한 후, 모든 부분을 탐색했고 QNAP 아카이브에 도달했습니다.
• 이 시스템을 통해 엘빗과 라파엘의 네트워크에 침투했고, 그들의 휴대폰, 프린터, 라우터, 카메라도 해킹했습니다. 1년 이상 회의를 음성과 영상으로 기록했습니다."
•  

 - 기술적 특성

• 18개월에 걸친 장기 침투(Extended Dwell Time)로 완전한 네트워크 매핑 실현
• 물리적 보안 시스템(보안 카메라 포함)의 완벽한 장악
• QNAP 스토리지 아카이브 접근을 통한 대규모 데이터 추출

 

 - 보안업체 SOC레이더 분석

• 고도화된 기술 수준과 신속한 실행 능력, 전략적 타겟팅 패턴으로 보아 단순 해킹 집단이 아닌 이란의 국가적 지원을 받는 집단으로 추정됩니다.​

 

5. 대응

 - 호주 국방부의 대응

• 호주 국방부와 관련 기관들이 유출 사실을 인지하고 모니터링 진행 중
• 호주 신호총국(Australian Signals Directorate)의 2025년 사이버 위협 보고서에서 정부 및 군사 데이터가 국가 지원 행위자들의 주요 목표임을 경고

 

 - 한화 디펜스 호주의 대응

• 호주 언론의 취재 요청에 대해 코멘트 거절(Decline to comment) - 공식 입장 발표 없음

 

 - 국제적 관심:​

• 호주 국방부 장관 팻 콘로이(Pat Conroy)는 엘빗의 역할을 방어하면서 호주군을 위해 최고의 장비 확보의 중요성 강조
• 호주가 지난 5년간 이스라엘에 무기를 수출하지 않았음을 명시

 

6. 문제점

 - 공급망 보안의 취약성

• 마야 엔지니어링이라는 중소 R&D 계약업체가 엘빗, 라파엘 같은 주요 방산 기업의 진입점이 되었습니다.
• 이는 3자 공급업체에 대한 보안 통제 부족을 의미합니다.
• 심각한 점은 마야 엔지니어링이 비교적 보안이 약한 "서비스 입구"로 기능했다는 것입니다.​

 

 - 물리적 보안 시스템의 사이버화 미흡:​

• 보안 카메라 시스템이 일반 IT 네트워크와 분리되지 않은 채로 18개월 동안 완전히 침해되었습니다.
• 폐쇄 회로 CCTV가 사이버 공격 표면이 되었으며, 기관들은 여전히 물리적 보안 시스템을 독립적인 운영 기술(OT)로 취급하고 있습니다.

 

 - 접근 제어 및 장기 침투 탐지 실패

• 1년 6개월에 걸친 네트워크 접근이 탐지되지 않았습니다.

  > 이는 다음을 시사합니다.

• 이상 탐지 및 침입 탐지 시스템(IDS)의 미흡
• 네트워크 모니터링 및 로깅의 부실
• 주기적 보안 감시 부재

 

 - 호주 방위산업 공급망의 국제 취약성

• 호주 국방부가 도입하는 고가의 무기 시스템(레드백 약 70억 달러)이 이스라엘 방위업체에 의존하면서, 제3국의 공급망 침해로 인한 연쇄 피해를 입었습니다.
• 이는 국방력 대외 의존도의 위험성을 드러냅니다.

 

 - 대외 의사소통 및 투명성 결여:

• 한화 디펜스 호주가 공식 입장을 발표하지 않아 피해 규모, 대응 조치, 재발 방지 계획에 대한 정보가 불명확합니다.

 

 - 국제방위산업협력의 보안 신뢰 훼손:​

• 일반인의 신원 정보가 공개되고, 회의 영상이 노출됨으로써 호주-이스라엘 간 국방 협력 관계의 신뢰 손상이 우려됩니다.
• 이는 향후 국제 공동개발 프로젝트의 정보 공유 체계에 부정적 영향을 미칠 수 있습니다.