한국수력원자력(한수원)을 해킹한 해커가 1980~90년대 컴퓨터 기술에 능숙하고 연륜이 있을 것이라는 추측이 조심스레 흘러나오고 있다.
정보보안업체 하우리의 최상명 센터장은 24일 "이번 해킹은 일반적으로 누가 장난치거나 간단하게 만들 수 있는 악성 코드의 수준이 아니다"며 "조직적이고 숙련된 전문가가 만든 악성 코드"라고 설명했다.
업계에 따르면 지난 8일 한수원 임직원들은 한글파일이 첨부된 'CANDU 제어프로그램 해설'이라는 이름의 e메일을 받았다. 직원들이 관심 있어 할 만한 메일의 첨부 파일에는 하드디스크를 파괴하는 악성 코드가 담겨 있었고, 이 첨부 파일을 열면 10일 오전 11시 이후에 하드디스크를 파괴하게 돼 있었다.
보안 전문가들은 해커들이 보낸 악성 코드를 열어본 임직원들에 의해 PC가 감염되고 내부 주요 문서가 유출된 것으로 보고 있다.
최 센터장은 "그동안 악성 코드로 하드디스크를 파괴하고 부팅 자체가 안 되게 하는 경우는 많았다"면서 "이번에는 부팅되면서 빨간색 글자로 'Who Am I'라는 글자가 나오게 했는데, 여기에는 매우 고급기술이 들어간다"고 말했다.
즉, PC가 부팅하고 윈도로 진입하기 전에 글자가 화면에 나타나는 것. 도스 시절에 사용했던 기법으로 윈도 환경으로 넘어오면서 이러한 기술을 사용한 악성 코드가 한 번도 없었다는 설명이다. 또 악성 코드가 난독화 돼 있거나 한글파일에 숨겨 넣는 방식 등도 고난도의 기술로 간주한다.
숙달된 해커가 북한 소속일 것이라는 주장도 제기됐다.
한 관계자는 "이번에 발견된 악성 코드는 기존 북한의 소행이라고 알려진 3.20 및 6.25 해킹때 써왔던 악성 코드 유형과는 많이 다르다"면서 "비슷한 시기에 발생한 소니픽처스의 해킹은 북한의 패턴과 90% 이상이 일치한다"고 말했다.
그러면서도 "북한 소행을 완전히 배제할 수도 없다"며 "북한이 자주 사용하는 코딩이 이번 해킹에서도 발견되는 등 '비슷한 습관'이 군데군데 묻어난다"고 짚었다.
다른 보안업체 관계자 역시 "악성 코드에서 북한이 저지른 이전 테러들과 유사한 패턴이 발견됐다"며 북한소행 가능성에 힘을 보탰다.
한편, 해킹 조직 일원으로 추정되는 원전반대그룹(WHO AM I)은 지난 15일, 18일, 19일, 21일, 23일 모두 5차례에 걸쳐 한수원을 해킹하고 인터넷 블로그와 트위터 등을 통해 대외비 자료를 공개했다.
또 크리스마스부터 고리 1·3호기와 월성 2호기 원전 가동을 중단하라고 요구하고 나섰다. 이에 대해 한수원은 서울 삼성동 본사 종합상황실에 비상상황반을 꾸리고 24시간 비상대기태세에 돌입했다.
(뉴시스)