합수단 "원전해킹은 北 소행…북한 IP주소 발견"

"사회혼란 야기 목적 북한 해커조직 범행"

원전해커개념도[사진=개인정보합수단 제공]

[아시아경제 박준용 기자] '원전해커'가 북한의 해킹조직의 일원인 것으로 검찰 수사결과 드러났다.

개인정보범죄 정부합동수사단(단장 부장검사 이정수)는 17일 "한국수력원자력 이메일 공격에 사용된 악성코드들은 북한 해커들이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드들과 구성 및 동작방식이 매우 유사하다"면서 "사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단된다"고 중간수사결과를 밝혔다.

합수단은 이 근거로 범인이 원전자료 유출과 이메일 공격사건에서 루트로 도용한 국내업체의 접속 IP를 제시했다. 이 중에서 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다고 했다.

◆범행은 어떻게 이뤄졌나

합수단에 따르면 해커는 지난해 한수원 직원 3571명에게 5986통의 악성코드(파괴형) 이메일을 발송했다. 이를 통해 PC 디스크 등을 파괴하려 시도했으나 PC 8대만 감염됐다. 이 중 5대의 하드디스크가 초기화되는 정도에 그쳤다. 합수단은 원전 운용에는 지장이 없다는 입장이다.

합수단은 "해커는 피싱(phishing) 메일을 보내 한수원을 마비시키려다 실패하자 해킹으로 얻어낸 한수원 자료 등을 공개하며 본건 협박에 이른 것으로 판단된다"면서 "해커는 거의 대부분 중국 선양 IP를 통해 국내 H사 VPN 업체 IP로 접속했다"고 했다.

원전반대그룹이 12일 SNS에 올린 내용[사진=트위터 캡처]

해커는 이메일 공격에 실패하자 지난해 12월부터 6차에 걸쳐 한수원 자료공개를 빌미로 협박했다. 자신을 원전반대그룹 회장 '미핵'이라고 소개한 해커는 '한수원 임직원 주소록 파일과 원전자료, 마트원전의 도면과 박 대통령과 반기문 유엔사무총장 간 통화요약록 등을 차례로 공개했다.

합수단은 이를 "사회불안을 야기하고 국민들의 불안심리를 자극한 것"이라고 설명했다. 또 해커가 지난 12일 트위터에 “돈이 필요하거든요. 요구만 들어주면 되겠는데"라면서 원전자료를 빌미로 돈을 요구한 것도 "제 돈을 받아내기 위함이 아닌 다른 목적을 희석하기 위한 불분명한 금전요구"라고 다.

◆檢"해킹집단 실체파악 주력하겠다"

합수단은 해커들의 공격에 사이버 수사기법을 총동원하여 IP 및 악성코드 추적하겠다는 입장이다.

또 국제공조와 유관기관 협업으로 해킹루트를 캐낸다는 방침이다. 국제 공조는 미국과 중국, 태국과 협업에 집중할 예정이다. 또 국정원, 경찰청 사이버안전국, 방송통신위원회, 한국인터넷진흥원(KISA) 등 유관기관도 참여한다.

합수단은 ▲이메일 ID 및 비밀번호 관리 철저 ▲공공기관에서의 불필요한 인터넷이용 차단 ▲사이버보안 전문인력의 육성 및 보안시스템 투자 제고 등 민간차원의 협력도 강조했다.

박준용 기자 juneyong@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>