사건 개요도. /서울중앙지검 제공 |
합수단은 국정원과 경찰청 사이버안전국, 안랩 등과 공조해 수사를 진행했고 미국·중국·일본·태국·네덜란드 등 한수원 협박에 이용된 IP 서버 경유지로 드러난 국가들과 국제수사 공조를 통해 범인을 추적했다. 수사 결과 해커들은 대부분 중국 선양 IP(인터넷 주소)를 통해 국내 H사의 VPN(가상 사설 네트워크) 업체 IP로 접속한 것으로 드러났다. 중국 선양 IP→국내 VPN 업체 IP를 거쳐 네이버·네이트·다음, 트위터, 페이스북 등에 협박 글을 게시한 것으로 나타났다. 협박 글을 게시한 네이버 등 포털사 계정 가입자는 물론 국내 VPN 업체 IP 사용자는 해커들로부터 명의가 도용된 것으로 밝혀졌다. 합수단이 이번 사건을 북한 해커 조직의 소행으로 판단한 것은 이메일 공격에 사용된 악성코드가 북한 해커조직이 사용해온 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 구성·동작 방식이 거의 같고, 악성코드에 이용된 ‘글 프로그램’ 버그(취약점)가 ‘kimsuky' 계열 악성코드에 이용된 버그와 동일한 데 따른 것이다. 김수키는 2013년 세계적인 러시아 보안회사인 카스퍼스키가 북한에서 만들어졌다고 추정한 악성코드로 이후 여러 유사 악성코드가 발견되기도 했다. 또 ‘kimsuky’ 계열 악성코드의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치한 것으로 드러났다. 작년 말 협박 글 게시는 중국 선양 IP 대역을 이용해 접속했다. 지난 12일 6차 협박글 게시는 러시아 블라디보스토크 IP를 이용해 접속했지만 이때 사용된 트워티 계정은 작년 말 협박글 게시에 사용된 트위터 계정과 동일한 것으로 드러났다. 합수단 관계자는 “중국 선양 IP 대역은 북한 압록강 주변이나 인접 지역에서 무선 인터넷 중계기를 사용해 접속할 가능성이 있다”고 밝혔다. 합수단 관계자는 “국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민의 불안심리를 자극한 사건”이라며 “이번 해킹은 금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단되며, 앞으로 철저히 수사할 방침”이라고 밝혔다.
[전수용 기자]
- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.