​[한수원 유출 북한 해커조직 소행]정부“명백한 도발,사이버안보 컨트롤타워 기능강화”

한수원 유출 북한 해커조직 소행 [사진 출처: YTN 동영상 캡처]

아주경제 이광효 기자=지난 해 12월부터 총 6차례에 걸쳐 발생한 ‘한국수력원자력(주, 이하 한수원)’에 대한 해킹사건은 북한 해커조직에 의한 사이버 테러였다는 중간 수사결과가 발표된 것에 대해 정부는 “명백한 도발”이라고 규탄하며 사이버안보 컨트롤타워 기능을 강화할 것임을 밝혔다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)이 17일 발표한 한수원 사이버테러 사건 중간수사 결과에 따르면 범인은 온라인 공간에 유포한 한수원 원전 관련 자료들을 한수원 내부 전산망에서 직접 빼내지 않고 전·현직 임직원과 협력사 관계자 등의 이메일이나 인터넷 커뮤니티를 해킹해 유출했다.

'원전 반대그룹'을 자칭한 범인은 지난 해 12월에 5차례, 12일에 1차례 등 총 6차례에 걸쳐 원전 관련 도면 등을 인터넷과 사회관계망서비스(SNS)에 공개했다.

지난 해 12월에는 “원전 가동을 중단하지 않으면 자료 공개를 계속하겠다”고 협박했고, 12일에는 “돈이 필요하다”는 글을 남겼다.

6차례에 걸쳐 원전 관련 도면과 한수원 임직원 주소록 및 전화번호부 등 모두 94개의 파일이 외부에 유포됐는데 자료 유출 경로 추적 결과 원전 관련 도면 등 상당수 자료가 한수원 협력사 임직원의 이메일을 해킹하는 방식으로 유출됐다. 이메일에 악성 코드를 침투시켜 컴퓨터를 감염시키고 자료를 빼가는 '피싱' 수법으로 주로 지난 해 7∼9월에 이뤄졌다.

한수원 전현직 관계자들도 '피싱'의 표적이 돼 범인이 이들에게 보낸 88통의 이메일을 클릭하면 ‘비밀번호가 유출됐으니 확인 바란다’는 미끼성 메시지와 비밀번호 변경창이 뜨고 번호를 입력하면 이를 빼내는 수법이 사용됐다.

범인은 이 비밀번호로 한수원 관계자들의 이메일 편지함과 온라인 커뮤니티 등에 들어가 자료를 빼낸 것으로 한수원 임직원 주소록과 전화번호부 등은 이런 방식으로 유출됐다.

합수단은 “빼돌려진 자료는 교육용 등 일반 용도의 문서가 대부분이고 원전 관리에 위험을 초래하거나 정책에 영향을 미칠 중요 자료는 아니다”라고 밝혔다.

합수단이 이런 범행이 북한 해커조직의 소행이라고 판단한 근거는 지난 해 12월 9일 이메일 공격에 사용된 악성코드가 북한 해커조직이 사용하는 악성코드 '킴수키(kimsuky)'와 구성 및 동작 방식이 거의 유사하다는 것.

특히 범인은 자료 탈취와 이메일 공격, 자료 공개 등의 범행에서 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데 여기에도 북한과의 연관성이 발견됐다.

국내 업체인 H사가 관리하는 IP 중에 지난 해 12월 하순쯤 접속 지역이 북한인 IP 25개, 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견된 것.

합수단은 “범인이 H사의 VPN 서비스에 접근하기 앞서 접속한 IP는 중국 선양에 소재한 것으로, 이 IP 대역은 북한 압록강 주변에서 접속할 수 있고 그 인접 지역에서도 무선 인터넷 중계기를 사용해 접속이 가능하다”고 말했다.

이에 대해 통일부는 대변인 성명에서 “북한이 다양한 경로를 통해 한수원 관련 자료를 절취한 후 우리 국민의 생명과 안전을 볼모로 원전을 파괴하겠다고 위협하고 관련 자료를 여러 차례 나누어 공개함으로써 우리 사회의 혼란을 야기하려 한 것은 우리 안보에 대한 명백한 도발”이라며 “우리 정부는 이번 사건을 포함해 북한이 우리와 국제사회에 대해 사이버 테러를 지속적으로 감행하고 있는 것에 대해 규탄하며 즉각 중단할 것을 촉구한다‘고 말했다.

정부는 이날 배포한 ‘국가 사이버안보 강화방안’ 보도자료에서 “국가안보실 중심의 전반적 사이버안보 컨트롤타워 기능을 강화할 계획”이라고 밝혔다.

정부는 우선 중앙행정기관, 지방자치단체와 주요기반시설 관리기관의 사이버보안 전담조직의 신설 및 확대를 추진한다.

각급기관의 정보보호 예산을 별도 항목으로 분리하고 취약점 분석·평가를 지원하며, 사이버징후 탐지·대응기구를 운영한다. 업무망과 인터넷 분리도 이뤄진다.

민관군 합동 사이버위기 대응 실전훈련도 강화하고 연내에 사이버위협 정보 종합 수집·분석·공유 시스템을 보강할 방침이다.

한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행 한수원 유출 북한 해커조직 소행