檢 “한수원 해킹은 국민 불안심리 노린 북한 소행”

지난해 12월부터 6차례에 걸쳐 원전 도면을 사이버 공간에 유출한 배후가 북한으로 드러났다.
검찰은 이번 사이버 공격이 한국 사회에 혼란을 일으키려는 북한의 공작으로 규정하고 국제 공조를 통해 해커 조직 색출에 나설 방침이다.
개인정보범죄 합동수사단(단장 이정수 부장검사)은 6차례에 걸쳐 이뤄진 원전 도면 유출 경로 등을 수사한 결과 북한 해커조직의 소행으로 판단했다고 17일 밝혔다.
합수단 관계자는 해커는 한수원 이메일 공격이 실패하자 수집한 정보를 인터넷에 공개했다”면서 금전 요구는 2차례에 그치고 대부분 협박만 한 걸로 볼 때 국민 불안 심리를 자극하기 위한 것”이라고 전했다. ‘원전반대그룹을 가장한 해커는 지난해 12월부터 6차례에 걸쳐 고리원전 도면과 한수원 내부 프로그램 화면을 인터넷 블로그와 트위터에 올렸다. 특히 이 해커는 지난 12일에는 박근혜 대통령과 반기문 유엔 사무총장이 통화한 내용까지 공개하면서 해킹 공포가 일파만파로 퍼져나갔다.

합수단은 한수원 사이버 공격에 사용된 악성코드를 분석하면서 북한 소행으로 결론내렸다. 소위 말하는 ‘kimsuky 악성코드가 한수원 PC 공격에 사용된 것인데 합수단 관계자는 악성코드의 동작 방식과 명령어 구조, 쉘 코드 함수를 고려한 결과 ‘kimsuky와 99.9% 일치한다”고 설명했다. ‘kimsuky는 북한이 제작한 악성코드로 2013년 러시아 보안회사 카스퍼스키가 밝혀냈다. 뿐만 아니라 원전 도면을 사이버 공간에 유출한 경로를 추적해도 북한 소행으로 가능성은 좁혀진다고 합수단은 밝혔다. 모두 6차례에 걸친 도면 유출 가운데 5차례가 중국 선양, 마지막 1차례가 러시아 블라디보스토크에서 시작됐는데 모두 국내 VPN을 거치면서 한국 IP로 둔갑해 원전 도면과 협박글이 올라왔다. VPN(Virtual Private Network)은 가상사설망을 제공하는 서비스를 말하는데, 외국에서 국내 VPN 업체를 거쳐 접속하면 마치 국내에서 접속한 것처럼 보인다. 합수단 관계자는 이번 해킹에 사용된 VPN에 접속한 IP를 확인한 결과 지난해 12월 하순 북한 IP 주소 25개와 북한 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적을 발견했다”고 설명했다.
합수단은 국정원, 경찰청, 방송통신위원회, 한국인터넷진흥원 등 유관 기관과 합동 수사를 거쳐 북한 소행으로 판단했다고 밝혔다. 합수단 관계자는 원전 폭파 협박이 이뤄지기 직전 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 보내 공격했으나 PC 8매만 감염되고 5대는 하드디스크가 초기화되는 정도에 그쳤다”고 설명했다. 그나마 이 과정에서 확보한 원전 관련 자료를 인터넷에 공개하긴 했지만 교육용 자료를 비롯한 일반 문서에 불과해 원전 안전에는 이상이 없었다. 다만 북한이 악성코드를 심은 이메일을 보내 사이버 공격을 감행한 것으로 드러난 만큼 각별한 사이버 보안 점검이 필요하다고 합수단은 지적했다. 합수단 관계자는 그동안 공개된 파일의 유출 경로를 확인한 결과 한수원 내부망에서 유출된 것은 없었다”면서 협력업체 직원 등 한수원 관계자 이메일에 보관돼 있던 자료들이 유출된 것으로 확인됐다”고 덧붙였다.
[김규식 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]