지난해 연말 사회적으로 혼란을 야기하고 국민을 불안에 떨게 한 '한수원 해킹' 사건은 북한이 치밀하게 계획한 범행인 것으로 밝혀졌다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 한국수력원자력의 원전 설계도면 등 내부자료 유출사건에 대한 중간수사결과를 발표하고 북한의 소행인 것으로 결론 냈다.
합수단에 따르면 해커들은 지난해 12월9일~12일 한수원 직원 3571명에게 총 5986통의 악성코드가 담긴 이메일을 발송해 PC 하드디스크 등의 파괴를 시도했다. 직원 PC 8대가 감염되고 그 중 5대의 하드디스크가 초기화되는 피해를 입혔다. 다만 이 같은 피해가 원전 운용이나 안전에는 직접적인 영향을 미치지 않았다.
합수단이 한수원 해킹에 쓰인 악성코드 및 인터넷 접속 IP 등을 분석한 결과, 이메일 공격에 사용된 악성코드가 북한 해커조직이 사용하는 것으로 알려진 이른바 'kimsuky(김수키)' 계열 악성코드와 구성·동작 방식이 거의 같은 것으로 나타났다.
또 악성코드에 이용된 '한글 프로그램'의 버그(취약점)가 'kimsuky' 계열 악성코드에 이용된 버그와 동일했고, 'kimsuky' 계열 악성코드들의 IP 일부가 중국 선양 IP 대역들과 12자리 중 9자리까지 일치한 것으로 합수단에 파악됐다.
H사가 관리하는 다른 접속 IP 중 지난해 12월말 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견된 것도 북한의 소행으로 추정하는 근거로 합수단은 판단했다.
합수단은 이 같은 여러 정황을 종합적으로 고려해 한수원 해킹 사건이 금전적 이득보다는 사회적 혼란을 야기하는데 목적을 둔 북한 해커조직의 소행인 것으로 판단했다.
앞서 한수원을 해킹했다고 자처한 원전반대그룹(Who Am I)은 지난해 12월15일부터 올해 3월12일까지 총 6차례에 걸쳐 한수원 관련 자료를 공개하며 원전 중단을 협박했다. 대부분의 범행이 중국 선양 IP를 통해 국내 H사의 VPN 업체 IP로 접속해서 이뤄졌다.
해커들은 지난해 12월 15일 포털사이트(네이버)에 '우리는 원전반대그룹! 끝나지 않은 싸움'이라는 글을 게시하며 한수원 임직원 주소록 파일 등을 1차로 공개했다.
이어 지난해 12월 18일과 19일, 21일, 23일까지 트위터 등에 '크리스마스 때까지 원전 가동을 중지하고 100억 달러를 주지 않으면 보유한 (원전)자료를 계속 공개하겠다'는 취지의 글을 추가로 올렸다.
이후 한동안 잠잠하다가 올해 3월12일 러시아 블라디보스토크 IP를 이용해 트위터상에 '돈이 필요하다'는 글과 함께 한수원의 원전 도면 등을 재차 게시했다.
이같은 자료 유출은 한수원 내부망에서 직접 유출되지 않고 한수원 퇴직자 등에게 '피싱(phishing)' 메일을 보내 이메일 비밀번호를 수집하거나 임직원 이메일 계정과 커뮤니티내 정보수집, 협력업체 직원 이메일 등을 통해 유출된 것으로 조사됐다.
합수단은 국가정보원, 대검 과학수사부·국제협력단, 경찰청 사이버안전국, 방송통신위원회, 한국인터넷진흥원, 안랩(AhnLab) 등과 공조수사를 진행하는 한편, 경유지 IP 서버 소재지인 미국, 중국, 일본, 태국, 네덜란드 등과도 국제수사공조를 통해 범인을 계속 추적할 계획이다.
그러나 이번 사건을 계기로 한수원 보안시스템의 허점이 드러나고 정부가 뒤늦게 사태를 파악해 대처하는 등 미숙함을 드러내 비판이 피할 수 없을 것으로 보인다.
합수단 관계자는 "이번 범행은 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박을 해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건임이 밝혀졌다"며 "북한 해커조직의 소행으로 판단하고 철저히 수사를 계속하겠다"고 말했다.
(뉴시스)