합수단 "한수원 해킹 공격은 북한 소행" 잠정 결론

한국수력원자력(한수원) 원전 해킹 사건을 수사해온 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 중간수사 결과 발표에서 “한수원 해킹은 북한 해커 조직의 소행으로 잠정 결론을 내렸다”고 밝혔다. 한수원 해킹 조직은 지난해 12월 15일부터 지난 12일까지 여섯 차례에 걸쳐 한수원 관련 자료를 공개하며 원전 가동을 중단하라고 협박했다. 작년 말 해커는 ‘크리스마스 때까지 원전 가동을 중지하고, 100억 달러를 주지 않으면 원전 자료를 계속 공개하겠다’는 취지의 글을 게시하기도 했다. 이후 석 달 가까이 활동이 없던 해커는 지난 12일 트위터에 ‘돈이 필요하다’는 글과 함께 한수원 원전 도면을 공개했다. 해커는 이메일에 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 뒤 이메일 계정에서 자료들을 빼내는 등 범행을 미리 치밀하게 준비했다고 합수단은 말했다. 해커는 본격적인 협박 이전인 지난해 12월 9일~12일 한수원 직원 3571명에게 5986통의 악성코드(파괴형) 이메일을 발송해 PC 디스크 등의 파괴를 시도했다. 하지만 한수원 PC 8대만 감염되고, 그 중 5대의 하드 디스크가 초기화되는 정도에 그쳤고, 원전 운용이나 안전에는 이상이 없었다. 한수원에 대한 이메일 공격이 사실상 실패로 돌아가자 앞서 해킹 등으로 취득한 한수원 자료 등을 공개하며 협박한 것으로 보인다고 합수단은 설명했다.

사건 개요도. /서울중앙지검 제공

합수단은 국정원과 경찰청 사이버안전국, 안랩 등과 공조해 수사를 진행했고 미국·중국·일본·태국·네덜란드 등 한수원 협박에 이용된 IP 서버 경유지로 드러난 국가들과 국제수사 공조를 통해 범인을 추적했다. 수사 결과 해커들은 대부분 중국 선양 IP(인터넷 주소)를 통해 국내 H사의 VPN(가상 사설 네트워크) 업체 IP로 접속한 것으로 드러났다. 중국 선양 IP→국내 VPN 업체 IP를 거쳐 네이버·네이트·다음, 트위터, 페이스북 등에 협박 글을 게시한 것으로 나타났다. 협박 글을 게시한 네이버 등 포털사 계정 가입자는 물론 국내 VPN 업체 IP 사용자는 해커들로부터 명의가 도용된 것으로 밝혀졌다. 합수단이 이번 사건을 북한 해커 조직의 소행으로 판단한 것은 이메일 공격에 사용된 악성코드가 북한 해커조직이 사용해온 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 구성·동작 방식이 거의 같고, 악성코드에 이용된 ‘글 프로그램’ 버그(취약점)가 ‘kimsuky' 계열 악성코드에 이용된 버그와 동일한 데 따른 것이다. 김수키는 2013년 세계적인 러시아 보안회사인 카스퍼스키가 북한에서 만들어졌다고 추정한 악성코드로 이후 여러 유사 악성코드가 발견되기도 했다. 또 ‘kimsuky’ 계열 악성코드의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치한 것으로 드러났다. 작년 말 협박 글 게시는 중국 선양 IP 대역을 이용해 접속했다. 지난 12일 6차 협박글 게시는 러시아 블라디보스토크 IP를 이용해 접속했지만 이때 사용된 트워티 계정은 작년 말 협박글 게시에 사용된 트위터 계정과 동일한 것으로 드러났다. 합수단 관계자는 “중국 선양 IP 대역은 북한 압록강 주변이나 인접 지역에서 무선 인터넷 중계기를 사용해 접속할 가능성이 있다”고 밝혔다. 합수단 관계자는 “국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민의 불안심리를 자극한 사건”이라며 “이번 해킹은 금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단되며, 앞으로 철저히 수사할 방침”이라고 밝혔다.

[전수용 기자]

- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -