원전도면 유출 북한 해커조직 소행… “사회혼란 목적”

원전도면 유출 북한 해커조직 소행… “사회혼란 목적”

입력 2015-03-17 14:01
수정 2015-03-17 15:21
  • 기사 읽어주기
    다시듣기
  • 글씨 크기 조절
  • 댓글
    0

합수부, 중국 선양·러시아 블라디보스토크 IP 동원 확인…추적 지속범인이 쓴 IP 경로, 북한도 사용 흔적’이메일 피싱’으로 자료 빼내

작년 말 ‘원전 가동중단 협박’으로 당국을 충격에 빠뜨린 데 이어 최근까지도 범행이 끊이지 않았던 원전 자료 유출 사태는 여러 증거에 비춰 북한 해커조직의 소행으로 판단된다는 수사 결과가 나왔다.

최윤수 3차장검사가 17일 오후 서울 고등검찰청에서 한수원 사이버테러 사건 중간수사 결과를 발표하고 있다. 연합뉴스
최윤수 3차장검사가 17일 오후 서울 고등검찰청에서 한수원 사이버테러 사건 중간수사 결과를 발표하고 있다.
연합뉴스
범인이 온라인 공간에 유포한 한국수력원자력의 원전 관련 자료들은 한수원 내부 전산망에서 직접 빼낸 것이 아니라 전·현직 임직원과 협력사 관계자 등의 이메일이나 인터넷 커뮤니티를 해킹해 유출한 것으로 조사됐다.

유출된 자료들은 원전 운용에 관한 핵심 자료가 아니어서 원전 수출 등 국가적 정책에 영향을 미칠 만한 사안은 없었던 것으로 파악됐다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 이 같은 내용을 담은 한수원 사이버테러 사건 중간수사 결과를 발표했다.

합수단에 따르면 ‘원전 반대그룹’을 자칭한 범인은 작년 12월에 5차례, 그리고 지난 12일에 1차례 등 총 6차례에 걸쳐 원전 관련 도면 등을 인터넷과 사회관계망서비스(SNS)에 공개했다.

작년 12월에는 원전 가동을 중단하지 않으면 자료 공개를 계속하겠다고 협박했고, 지난 12일에는 “돈이 필요하다”는 글을 남기기도 했다.

6차례에 걸쳐 원전 관련 도면과 한수원 임직원 주소록 및 전화번호부 등 총 94개의 파일이 외부에 유포됐다.

자료 유출 경로를 추적한 결과 원전 관련 도면 등 상당수 자료가 한수원 협력사 임직원의 이메일을 해킹하는 방식으로 유출됐다. 이메일에 악성 코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 ‘피싱’ 수법으로, 주로 작년 7∼9월에 이뤄졌다.

유출 자료 중에는 한수원 협력사 대표 2명의 컴퓨터에서 빼돌려진 것도 있었다.

한수원 전현직 관계자들도 ‘피싱’의 표적이 됐다. 범인이 이들에게 보낸 88통의 이메일을 클릭하면 ‘비밀번호가 유출됐으니 확인 바란다’는 미끼성 메시지와 비밀번호 변경창이 뜨고 번호를 입력하면 이를 빼내는 수법을 썼다.

범인은 이 비밀번호로 한수원 관계자들의 이메일 편지함과 온라인 커뮤니티 등에 들어가 자료를 끄집어낸 것이다. 한수원 임직원 주소록과 전화번호부 등은 이런 방식으로 유출됐다.

빼돌려진 자료는 교육용 등 일반 용도의 문서가 대부분이고 원전 관리에 위험을 초래하거나 정책에 영향을 미칠 중요 자료는 아니라고 합수단은 밝혔다.

범인은 작년 12월9일 한수원 직원 3천571명에게 악성코드가 담긴 이메일 5천986통을 살포한 것으로도 확인됐지만 이때는 자료 유출이 없었던 것으로 파악됐다. 다만 당시의 이메일 공격으로 한수원 내 컴퓨터 8대가 감염됐고, 이 중 5대의 하드디스크가 초기화됐다.

합수단은 이런 일련의 범행이 북한 해커조직의 소행이라고 판단했다.

12월9일 이메일 공격에 사용된 악성코드는 북한 해커조직이 쓰는 악성코드 ‘킴수키(kimsuky)’와 구성 및 동작 방식이 거의 유사하다는 점이 근거로 꼽혔다.

특히 범인은 자료 탈취와 이메일 공격, 자료 공개 등 범행에서 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데, 여기에도 북한과의 연관성이 발견됐다.

국내 업체인 H사가 관리하는 IP 중에서 작년 12월 하순께 접속 지역이 북한인 IP 25개, 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견된 것이다.

범인이 H사의 VPN 서비스에 접근하기 앞서 접속한 IP는 중국 선양에 소재한 것으로, 이 IP 대역은 북한 압록강 주변에서 접속할 수 있고 그 인접 지역에서도 무선 인터넷 중계기를 사용해 접속이 가능하다고 합수단은 설명했다.

가장 최근인 지난 12일 트위터에 게시된 6번째 글은 종전의 5차례 게시글과 동일한 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다.

합수단 관계자는 이번 범행에 대해 “국민 안전과 직결되는 국가 인프라 시설인 원전을 대상으로 전 국민을 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건”이라고 규정했다.

합수단은 범인이 사용한 SNS의 서버가 있는 미국, 범행에 동원한 IP 접속 흔적이 있는 중국 등과 국제 사법공조를 벌여 해킹 세력의 실체와 배후를 파악하기 위한 추적 작업을 지속할 방침이다.

이번 해킹 사건을 계기로 주요 국가기관 등은 사설 이메일을 가급적 업무에 사용하지 않도록 하고 비밀번호는 수시로 변경하며 사내외 망분리 등 다양한 사이버 보안조치를 취할 필요가 있다고 합수단은 강조했다.

연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
close button
많이 본 뉴스
1 / 3
광고삭제
광고삭제
위로