한국수력원자력의 원전 설계도면 등 내부자료 유출사건을 수사중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 해킹 수법이 유사한 북한의 '킴수키(kimsuky)' 등 국내외 악성코드 여러 개를 면밀하게 비교 분석 중이라고 24일 밝혔다.
현재 합수단은 수천개의 악성코드 가운데 북한, 중국, 미국 등에서 자주 쓰이는 악성코드를 우선적으로 선별, 원전 해커와 해킹 수법과 도구 등을 비교하며 얼마만큼 관련성이 있는지 분석하고 있다.
이 가운데 북한의 해킹 악성코드 중 하나인 킴수키가 한수원 해킹 방식과 유사한 정황을 합수단이 포착했다. 킴수키는 러시아에서 북한이 자주 쓰는 악성코드를 해커의 e메일 계정 '김숙향(kimsukyang)'을 딴 이름으로 명명한 것이다.
합수단에 따르면 원전 해커가 지난해 12월9일 한수원 직원들에게 한글파일을 첨부해 e메일로 보낸 악성코드의 핵심기술인 셸코드(shellcode)는 킴수키에서 나타나는 고유 기술방식과 상당부분 일치한 것으로 파악됐다.
또 원전 해커와 킴수키의 인터넷주소가 중국 선양(瀋陽)의 가상사설망(VPN) 업체를 활용한 점도 일치했다.
다만 한수원 해킹에 쓰인 악성코드에는 하드디스크 파괴형 기능이 심어져 있었던 것과는 달리 킴수키는 자료 탈취형 기능이 담겨 있어 다소 차이가 있는 것으로 분석됐다.
합수단 관계자는 "킴수키가 한수원 해킹에 쓰인 악성코드와 유사한 건 맞지만 전문적인 해커라면 악성코드를 모방하거나 변종형태로 활용할 수 있기 때문에 킴수키로 단정할 수는 없다"며 "다양한 악성코드를 비교 분석하며 유사성이 있는지를 살펴보고 있다"고 말했다.
한편 합수단은 지난해 11월 북한이 미국 소니픽처스를 해킹할 때 활용한 악성코드를 분석한 결과 한수원 해킹 방식과는 유사성이 낮다고 잠정 결론 내고, 미국 연방수사국(FBI)에 범행에 사용된 IP주소 등을 요청한 상태다.
앞서 합수단은 지난해 12월9일 오전 5시~오후 3시 사이 악성코드가 담긴 e메일 5980통이 한수원 직원들에게 발송된 사실을 확인했다. 특히 'e메일 폭탄' 공격은 한수원 직원 한 사람당 10여통씩 300여명에게 집중됐다.
한수원 직원들이 받은 e메일에서는 파일삭제, 트래픽을 유발하는 네트워크 패킷, 하드디스크 파괴 등 3가지 기능의 악성코드가 확인됐다.
(뉴시스)