하태경 "북한 추정 세력, 원자력연구원 서버 해킹"…기술유출 우려 제기

5월 신원불명 접속…정부, 피해·배후 조사 중

내부망 메일시스템·KMS 인증서버 등 침입해

발견된 IP 주소 13개, 작년 '제약사 해킹' 관련

"정부 측 허위보고…피해규모·배후 공개해야"

과기부 "필요조치 했다…'사고없었다'는 착오"

[사진=게티이미지뱅크]

원전·핵연료봉과 같은 원자력기술 연구개발을 맡고 있는 한국원자력연구원이 북한 해커에 내부 전산시스템을 해킹당했다는 주장이 제기됐다. 국가정보원이 이 사건의 구체적인 상황을 파악 중이다. 피해 규모와 배후 세력에 대한 조사도 진행될 것으로 보인다.

국회 정보위원회 소속 하태경 의원은 최근 한국원자력연구원으로부터 제출받은 자료 내용을 근거로 "한국원자력연구원 서버가 북한 해커로 추정되는 세력에 뚫렸다"라며 "북한에 원자력기술 등 국가 핵심기술이 유출됐다면 2016년 국방망 해킹 사건에 버금가는 초대형 보안 사고로 기록될 수 있다"고 18일 주장했다.

하 의원 측에 따르면 한국원자력연구원은 지난달 14일 북한 정찰총국 산하 해커 조직인 '김수키(kimsuky)'로 추정되는 세력에 해킹을 당했다. 당시 한국원자력연구원이 "가상사설망(VPN) 취약점을 통해 신원불명의 외부인이 일부 (내부 전산시스템) 접속에 성공했다"며 사이버침해사고를 신고한 기록이 의원실 제출 자료에 담겼다는 설명이다.

김수키는 2013년 러시아 정보보안기업 카스퍼스키랩이 발표한 분석보고서(Operation Kimsuky)를 통해 식별된 해커 조직이다. 김수키라는 식별명은 당시 카스퍼스키랩이 해커가 사용한 이메일 계정명(Kimsukyang)에서 따온 것이다. 김수키는 2014년 12월 한국수력원자력 해킹 공격과 이후 국내를 겨냥한 한글(.hwp) 형식의 악성문서 유포 등 공격활동을 이어 왔다.

 

한국원자력연구원이 하태경 의원실에 제출한 2021년 5월 14일 사이버침해사고 신고서. [자료=하태경 의원실 제공]

의원실이 공개한 한국원자력연구원의 사이버침해사고 신고서를 보면, 당시 연구원은 VPN, 메일시스템, 키관리시스템(KMS) 인증서버 등 3종의 전산시스템 3대 이상에 외부인의 접속이 이뤄졌음을 확인했다. 이에 외부망 방화벽과 침입방지시스템(IPS) 등 보안장비에서 공격자의 IP를 차단하고 VPN 시스템 보안 업데이트를 적용하는 대응 조치를 취했다.

하 의원 측이 한국원자력연구원의 내부 전산시스템 접속에 성공한 외부인의 배후를 북한 해커 조직으로 추정하는 근거는 VPN 시스템에 남아 있던 외부 IP 주소 13개다. VPN은 내부망으로 접속해야 할 전산시스템에 외부에서 인터넷으로 접속할 수 있도록 해 주는 네트워크 기술로, 일반적으로 적정 권한을 가진 사용자만이 접속할 수 있다.

의원실에 따르면 VPN 시스템에 남아 있던 외부 IP 주소 13개는 적정 권한을 갖고 있는 사용자의 접속 기록이 아니었고, 신원을 알 수 없는 사용자가 무단으로 접속한 것이었다. 의원실은 북한 사이버테러 전문연구조직인 '이슈메이커스랩'의 추적 결과, 이번에 발견된 IP 주소가 '작년 코로나 백신 제약사를 공격한 북한 해커의 서버'로 연결된 것을 확인했다고 밝혔다.

하 의원은 한국원자력연구원과 과학기술정보통신부 등 관계기관이 조사 과정에 '해킹사고가 없었다'고 허위 보고를 한 점에 대해 "원전·핵연료봉 등 원자력 기술을 연구 개발하는 핵심연구기관인데 북한 추정 세력에 해킹당한 사실을 거짓말로 은폐해 국민을 속이려 한 죄가 크다"며 "정부는 피해 규모와 배후세력을 조속히 공개해야 한다"고 말했다.

의원실은 또 "해커가 사용한 주소 가운데 문정인 전 외교안보특보의 이메일 아이디(cimoon)도 발견됐다"라며 "(제약사 공격에 사용된 IP와 함께) 북한이 배후세력이라는 결정적 증거"라고 주장했다. 지난 2018년 문 전 특보를 사칭한 악성메일 유포 사례의 배후 또한 김수키 조직으로 지목됐음을 근거로, 두 공격 사건의 배후가 동일하다고 판단하는 것이다.
 

북한 사이버테러 전문연구조직 이슈메이커스랩의 2021년 5월 14일 한국원자력연구원 사이버침해 공격자 IP 이력 분석 도안. [자료=하태경 의원실 제공]

정부는 관련부처 합동으로 이 해킹사고의 정확한 피해규모와 공격 배후에 대해 확인하고 있다. 정부가 공격 배후를 북한 해커로 판단할지, 그걸 공표할지 알 수 없다. 또 민감한 자료가 해커에 의해 외부로 유출됐을지도 확실치는 않다.

이날 국가정보원은 지난달 한국원자력연구원 사이버침해사고에 대해 "현장조사를 실시했고, VPN을 통한 전산망 침투를 확인했다"라며 "당시 즉시 원자력연구원의 취약 VPN 운영을 중단토록 조치했고, 연구원 보안장비를 통해 해킹 경유지를 차단토록 하는 등 긴급대응했다"라고 밝혔다.

과기정통부는 "(사고 시점에) 한국원자력연구원의 VPN 운영을 즉시 중단했고, 공격자IP 차단 등 필요한 조치를 했다"면서 "(하 의원 측이 허위보고·사고은폐 의혹을 제기한) '해킹사고는 없었다'라는 내용은 피해규모 등이 최종 확인되지 않은 상황에서 실무적인 착오였다"고 밝혔다.

한국원자력연구원 역시 "'해킹사고는 없었다'는 내용은, 침해가 의심돼 조사 중으로 피해가 확인되지 않은 상황에서 벌어진 실무진 답변의 착오였다"라며 "한국원자력연구원은 이번 해킹사고 발생으로 국민 여러분께 심려를 끼친 점 사과드린다"고 밝혔다.

내부망 무단 접속과 내부망 전산시스템 자료 접근은 별개 문제다. 해커가 원자력연구원 전산시스템의 자료를 빼돌렸다고 단정할 상황은 아니다. 원전 설계도나 핵연료봉 기술 등 중요 자료를 보관하는 행정·공공기관의 전산시스템 환경은 망분리가 돼 있어, 핵심 내용은 유출되지 않았을 것이라는 추정도 있다.