[단독]"원전도면 유출은 내부자 아닌 해커 소행이다"

원자력발전소 주요 도면 등 핵심자료 유출은 여러 정황상 내부자 소행이 아닌 전문 해커의 소행인 것으로 확인되고 있다.

한국수력원자력과 주무부처인 산업통상자원부는 “외부인이 내부망에 침입한 흔적이 발견되지 않았다”며 해커의 소행이 아닌 내부자 정보유출 등에 수사초점을 맞추고 있지만 해커의 소행임을 뒷받침할 여러 정황이 새로이 포착되고 있어 문제의 심각성이 커지고 있다.

공격자로 추정되는 인물이 트위터에 전리품처럼 올려놓은 한수원 사이트 변조 화면. 산자부와 한수원 조사 결과와 달리 한수원 일부 사이트는 해커의 침입이 있었던 것으로 보인다.
공격자로 추정되는 인물이 트위터에 전리품처럼 올려놓은 한수원 사이트 변조 화면. 산자부와 한수원 조사 결과와 달리 한수원 일부 사이트는 해커의 침입이 있었던 것으로 보인다.

허영일 NSHC 대표는 “이미 한수원 일부 사이트 (http://cms.khnp.co.kr/eng/realtime-output-on-npp)의 홈페이지가 해커에 의해 변조됐음(Defaced)이 확인됐다”며 “정부합동수사단이 이 사안을 단순히 내부자나 협력업체 관계자에 의한 정보 유출로 보는 건 대단히 위험하다”고 말했다. 허 대표는 “해커는 변조된 홈페이지 화면을 트위터에 올리면서 한수원의 보안 허점과 미흡한 대처방식을 조롱하고 있다”고 덧붙였다.

민간 사이버전연구단체 이슈메이커스랩을 이끄는 시몬최(Simon Choi) 리더는 “12월 9일에 한수원에 뿌려졌던 악성코드는 12월 10일 오전 11시 이후에 하드디스크드라이브(HDD) 파괴 명령이 동작하도록 논리폭탄(logic bomb)이 포함돼 있었다”며 “공격자 주장이 사실이라면 또 다른 논리폭탄이 포함된 악성코드에 감염된 PC에서 2차 파괴가 일어날 수 있다”고 경고했다. 그는 “한수원이 내부망 등을 총체적으로 점검해 숨겨져 있을지 모르는 논리폭탄을 찾아 제거해야 한다”며 “논리폭탄은 동작하기 전에 발견하기 쉽지 않은 만큼 민간 전문가를 총동원해야 한다”고 설명했다.

또 그는 “한수원 관련 사이트에서 자바 취약점을 이용한 워터링홀 공격도 있었던 것으로 보인다”며 “직원 중 악성코드에 감염돼 자료가 유출될 수 있어 전직원 업무와 PC 전부를 면밀히 점검해야 한다”고 말했다. 워터링홀이란 신종해킹법으로 특정 대상이 주로 방문하는 사이트에 악성코드 감염을 시도하는 행위다.

익명을 요구한 A보안전문가는 “이미 지난 10일 발견된 HDD 악성코드에 최소 한 대 이상이 감염됐고 피해를 입은 것으로 안다”며 “수많은 공격 중 하나만 성공하면 내부망에 들어가는 건 매우 쉬운 일”이라고 말했다.

임채호 KAIST 정보보호대학원 보안연구센터 교수는 “한수원 모든 직원의 PC를 최소한 일주일에 한 번씩 포맷해야 한다”며 “백신 등 보안 솔루션에만 의존하지 말고 기업 내부에 보안을 생활화해야 한다”고 조언했다.

한편, 국정원 국가사이버안전센터는 19일 12시00분부로 사이버 위기 2단계인 ‘관심’ 경보를 발령했다. 국가사이버안전센터는 국가 공공기관 정보통신망 및 주요기반시설 대상 사이버 위협 발생 가능성에 대비해 보안 활동과 대비태세 강화를 주문했다.

김인순기자 insoon@etnews.com