"원전도면 유출, 북한 해커조직 소행"
[컨슈머타임스 이수영 기자] '원전 가동중단 협박'으로 당국을 충격에 빠뜨린 원전 자료 유출 사태는 여러 증거에 비춰 북한 해커조직의 소행으로 판단된다는 수사 결과가 나왔다.
범인이 온라인 공간에 유포한 한국수력원자력의 원전 관련 자료들은 한수원 내부 전산망에서 직접 빼낸 것이 아니라 전∙현직 임직원과 협력사 관계자 등의 이메일 등을 해킹해 유출한 것으로 조사됐다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 이 같은 내용의 한수원 사이버테러 사건 중간수사 결과를 발표했다.
합수단에 따르면 '원전 반대그룹'을 자칭한 범인은 작년 12월에 5차례, 지난 12일에 1차례 등 총 6차례에 걸쳐 원전 관련 도면 등을 인터넷과 SNS에 공개했다.
작년 12월에는 원전 가동을 중단하지 않으면 자료 공개를 계속하겠다고 협박했다. 지난 12일에는 "돈이 필요하다"고 밝히기도 했다.
6차례에 걸쳐 원전 관련 도면과 한수원 임직원 주소록 및 전화번호부 등 94개의 파일이 외부에 유포됐다.
원전 관련 도면 등 상당수 자료가 한수원 협력사 임직원의 이메일을 해킹하는 방식으로 유출됐다. 악성 코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 '피싱' 수법으로 작년 7∼9월에 주로 이뤄졌다.
한수원 협력사 대표 2명의 컴퓨터에서 빼돌려진 것도 있었다.
한수원 전현직 관계자들도 '피싱'의 표적이 됐다. 범인이 이들에게 보낸 88통의 이메일을 클릭하면 '비밀번호가 유출됐으니 확인 바란다'는 메시지와 비밀번호 변경창이 뜨고 번호를 입력하면 이를 빼내는 수법을 썼다.
범인은 이 비밀번호로 한수원 관계자들의 이메일 편지함과 온라인 커뮤니티 등에 들어가 자료를 빼낸 것이다.
빼돌려진 자료는 교육용 등 일반 용도의 문서가 대부분이고 원전 관리에 위험을 초래하거나 정책에 영향을 미칠 중요 자료는 아니라고 합수단은 설명했다.
범인은 작년 12월9일 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 살포한 것으로도 확인됐다. 당시 이메일 공격으로 한수원 내 컴퓨터 8대가 감염됐고 이 중 5대의 하드디스크가 초기화됐다.
합수단은 이 같은 일련의 범행이 북한 해커조직의 소행이라고 판단했다.
12월9일 이메일 공격에 사용된 악성코드는 북한 해커조직이 쓰는 악성코드 '킴수키(kimsuky)'와 구성 및 동작 방식이 유사하다는 점이 근거로 꼽혔다.
범인은 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데 여기에도 북한과의 연관성이 발견됐다.
국내 업체인 H사가 관리하는 IP 중에서 작년 12월 하순께 접속 지역이 북한인 IP 25개, 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견된 것.
범인이 H사의 VPN 서비스에 접근하기 앞서 접속한 IP는 중국 선양에 소재한 것으로 이 IP 대역은 북한 압록강 주변에서 접속할 수 있고 인접한 곳에서도 무선 인터넷 중계기를 사용해 접속이 가능하다고 합수단은 설명했다.
지난 12일 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다.
합수단 관계자는 "국민 안전과 직결되는 국가 인프라 시설인 원전을 대상으로 전 국민을 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건"이라고 말했다.
합수단은 범인이 사용한 SNS의 서버가 있는 미국, 범행에 동원한 IP 접속 흔적이 있는 중국 등과 국제 사법공조를 벌여 해킹 세력의 실체를 파악하기 위한 추적 작업을 계속할 방침이다.
