지난해 말 온 국민을 불안에 떨게 한 한국수력원자력 원전 자료유출 사태는 북한 해커조직 소행으로 잠정 결론 났다. 약 3개월간 수사를 벌였지만 결국 범인은 잡지 못한 셈이다.
개인정보범죄 정부합동수사단(단장 이정부 부장검사)은 17일 한수원 사이버테러 사건 중간 수사결과를 발표했다.
◇북한 해킹 조직이 사회 혼란 노려…킴수키와 유사
합수단은 한수원 사이버테러 사건을 북한 해커조직 소행이라고 판단했다. 지난해 12월 9일 이메일 공격에 사용된 악성코드가 북한 해커조직이 쓰는 ‘킴수키(kimsuky)’와 구성 및 작동 방식이 유사하기 때문이다. 공격자는 자료 탈취와 이메일 공격, 자료 공개 등 범행에서 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데 여기에도 북한과의 연관성이 발견됐다. 그동안 국내 보안 업체에서 밝힌 내용과 큰 차이점이 없다.
국내 업체인 H사가 관리하는 IP 중에서 작년 12월 하순께 접속 지역이 북한인 IP 25개, 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다.
공격자가 H사 VPN에 접근하기 전에 접속한 IP는 중국 선양 소재다. 합수단은 IP 대역은 북한 압록강 주변에서 접속할 수 있고 그 인접 지역에서도 무선 인터넷 중계기를 사용해 접속이 가능하다고 설명했다.
가장 최근인 지난 12일 트위터에 게시된 글은 종전 게시글과 동일한 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다.
합수단 관계자는 “국민 안전과 직결되는 국가 인프라 시설인 원전을 두고 국민을 지속적이고 공개적으로 협박해 사회불안을 야기한 사건”이라며 “범인이 사용한 SNS 서버가 있는 미국과 범행에 동원한 IP 접속 흔적이 있는 중국 등과 국제 사법공조를 벌여 해킹 세력의 실체와 배후를 파악하는 데 집중한다”고 밝혔다.
◇원전 자료 대부분 협력사 등에서 나가
합수단이 유출 자료 경로를 추적한 결과, 원전 관련 도면 등 상당수 자료가 한수원 협력사 임직원 이메일 해킹으로 흘러나갔다. 이메일에 악성 코드를 삽입해 PC를 감염시킨 뒤 자료를 빼가는 수법이다. 주로 작년 7∼9월에 이뤄졌다. 유출 자료 중에는 한수원 협력사 대표 2명의 PC에서 빼돌려진 것도 있다.
한수원 전현직 관계자가 ‘스피어 피싱’의 표적이 됐다. 공격자가 보낸 88통의 이메일을 클릭하면 ‘비밀번호가 유출됐으니 확인 바란다’는 메시지와 비밀번호 변경창이 뜨고 번호를 입력하면 이를 빼내는 수법을 썼다.
공격자는 비밀번호로 한수원 관계자 이메일 편지함과 온라인 커뮤니티 등에 들어가 자료를 유출했다. 한수원 임직원 주소록과 전화번호부 등은 이런 방식으로 유출됐다. 빼돌린 자료는 교육용 등 일반용도 문서가 대부분이고 원전 관리에 위험을 초래하거나 정책에 영향을 미칠 중요 자료는 아니라고 합수단은 밝혔다.
공격자는 작년 12월 9일 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 살포했는데 이때 자료 유출이 없었던 것으로 파악됐다. 당시 공격으로 한수원 내 컴퓨터 8대가 감염됐고, 이 중 5대 하드 디스크 드라이브가 초기화됐다.
◇해커 조직은 여전히 활동
합수단 중간 수사 결과가 발표됐지만 사고는 여전히 진행형이다. ‘원전 반대그룹’ 조직은 지난해 12월 다섯 차례에 이어 지난 12일 또다시 인터넷에 원전 관련 자료를 공개하며 국내 수사 조직을 비웃고 있다. 이들은 여섯 차례에 걸쳐 원전 관련 도면과 한수원 임직원 주소록 및 전화번호부 등 총 94개의 파일이 외부에 유포했다. 합수단은 아직도 한수원에서 유출된 자료 규모가 얼마나 되는지 밝히지 못했다.
사이버전 전문가는 “공격자가 다시 트위터 등 SNS에 유출한 자료를 올리면서 합수단을 조롱할 수 있다”며 “합수단은 중국 선양 지역 등에 중국 당국의 사법 공조를 요청했지만 협조를 받지 못하면서 여론에 떠밀려 중간 수사결과를 발표한 모양새”라고 말했다.
<한국수력원자력 해킹사건 일지>
김인순기자 insoon@etnews.com
