‘한수원 해킹’ 北 소행 근거는

검찰은 지난 3개월간 악성코드 및 인터넷 접속 IP 분석 결과를 근거로 지난해 말 집중된 한국수력원자력 사이버 공격이 북한 소행이라고 잠정 결론을 냈다.









17일 개인정보범죄 정부합동수사단(단장 이정수 부장검사)에 따르면 원전 관련 도면 등 지난해 12월~올해 3월 6차례에 걸쳐 공개된 한수원 자료 상당수가 이메일을 해킹하는 방식으로 유출됐다. 해커는 먼저 지난해 7~9월 이메일로 악성코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 ‘피싱’ 수법을 사이버 공격의 준비 단계에 활용했다. 한수원 전·현직 관계자들이 주요 표적이 됐다. 해커는 이메일에 담은 미끼성 메시지와 비밀번호 변경창 등을 통해 비밀번호를 확보한 뒤 한수원 관계자들의 이메일 편지함 등에서 자료를 끄집어냈다.

이렇게 얻은 정보로 해커는 지난해 12월 9~12일 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 살포했다. 하지만 이 공격은 실패했다. 합수단은 해커가 인터넷에 공개한 자료는 모두 이전 준비 단계에서 확보했다고 설명했다.

합수단은 연이은 범행이 북한 해커조직의 소행이라고 분석했다. 이메일 공격에 담긴 악성코드가 그간 북한 해커조직이 사용한 것으로 알려진 ‘김수키’(kimsuky) 계열 악성코드와 유사하다는 점을 결정적인 증거로 꼽았다. 김수키는 2013년 러시아 보안회사 카스퍼스키가 북한에서 만들었다고 추정한 악성코드다. 이번 사건에서 발견된 악성코드는 명령어 코드 조각의 모양새와 실행코드가 ‘윈도 메모장’을 통해 삽입되며 동작하는 방식 등이 김수키와 거의 같은 것으로 분석됐다.

합수단은 또 양쪽 악성코드에 한국에서 주로 쓰이는 ‘아래아 한글’ 프로그램을 공격 대상으로 한 최근 버그가 사용됐다는 점도 주목했다. 한국을 타깃으로 했다는 의미다. 합수단은 범행에 이용된 중국 선양 소재 IP 대역이 이전에 북한 해킹조직이 사용한 IP 대역과 9자리(모두 12자리)가 일치한다는 점도 판단 근거로 삼았다. 이 IP 대역은 무선인터넷 중계기를 통해 북한 압록강 주변에서 접속할 수 있다는 게 합수단의 설명이다. 합수단은 특히 해커가 역추적을 막기 위해 국내 인터넷 가상사설망(VPN) 서비스업체에서 할당받은 IP를 사용했는데, 이 중 접속 지역이 북한인 IP 25개, 북한 통신회사(KPTC)에 할당된 IP 5개가 지난해 12월 접속한 흔적을 발견했다고 강조했다. 지난 12일 트위터에 게시된 6번째 협박글도 지난해 말 5차례의 게시글과 같은 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다.

하지만 북한 소행으로 단정하기엔 역부족이라는 지적도 나온다. 전직 해커인 한 보안 전문가는 “북한 소행이라고 미리 결론지어 놓고 정보를 끼워 맞춘 것 같은 느낌”이라며 “김수키는 누구나 재생산할 수 있어 북한만 쓸 수 있는 게 아니다”라고 지적했다.

한편 북한은 대남 선전용 웹사이트 우리민족끼리를 통해 이 사건을 북한의 소행으로 결론 내린 것을 두고 “무지무능아의 엉터리 판단”이라며 합수단 수사 결과를 부인했다.

김양진 기자 ky0295@seoul.co.kr