합수단 “원전도면 유출, 북한 해커조직 소행”

등록 2015.03.17 15:42

기자

이메일 피싱으로 자료 빼가···중요 원전 자료 유출된 것 아냐

지난해 말 원전도면 유출 사태로 충격을 줬던 해킹사건이 북한 해커조직의 소행이라는 수사 결과가 나왔다.

개인정보범죄 정부합동수사단은 17일 이같은 내용의 한수원 사이버테러 사건 중간수사 결과를 발표했다.

합수단에 따르면 원전 반대그룹을 자칭한 범인은 작년 12월에 5차례, 지난 12일에 1차례 등 총 6차례에 걸쳐 원전 관련 도면, 한수원 임직원 주소록 등 총 94개 파일을 인터넷과 사회관계망서비스(SNS)에 공개했다.

합수단이 자료 유출 경로를 추적한 결과, 한수원 협력사 임직원의 이메일에 악성 코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 피싱 수법은 쓴 것으로 파악됐다. 유출 자료 중에는 한수원 협력사 대표 2명의 컴퓨터에서 빼돌려진 것도 있었다.

빼돌려진 자료는 교육용 등 일반 용도의 문서로 원전 관리에 위험을 초래하거나 정책에 영향을 미칠 중요 자료는 아니라고 합수단은 밝혔다.

합수단은 12월 9일 이메일 공격에 사용된 악성코드가 북한 해커조직이 쓰는 악성코드 ‘킴수키(kimsuky)’와 구성과 동작 방식이 유사하다는 점을 근거로 북한 소행이라고 결론 내렸다.

범인은 자료 탈취와 이메일 공격, 자료 공개 등 범행에서 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데, 여기에도 북한과의 연관성이 발견됐다.

실제 국내 업체인 H사가 관리하는 IP 중에서 작년 12월 하순께 접속 지역이 북한인 IP 25개, 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다.

가장 최근인 지난 12일 트위터에 게시된 6번째 글은 종전의 5차례 게시글과 동일한 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다.

합수단 관계자는 “국민 안전과 직결되는 국가 인프라 시설인 원전을 대상으로 전 국민을 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건”이라고 말했다.

합수단은 범인이 사용한 SNS의 서버가 있는 미국, 범행에 동원한 IP 접속 흔적이 있는 중국 등과 국제 사법공조를 벌여 해킹 세력의 실체와 배후를 파악하기 위한 추적 작업을 지속할 방침이다.

김은경 기자 cr21@