한수원 해킹 살펴보니…유사 공격에 또 당해

망분리해도 해킹 가능해 전수조사도 필요

일반입력 :2014/12/22 17:20

손경호 기자

논란에 휩싸인 한국수력원자력 해킹 사건은 3.20, 6.25 사이버 공격 등 국내에서 발생한 굵직한 사건들과 유사한 것인데도 사전 대비가 부족했다는 점에서 부실 관리 논란을 벗어나기 어려울 것으로 전망된다.

인터넷망과 내부망이 분리된 환경에서도 해킹이 이뤄질 수 있다는 점을 고려하면 해당 원전 및 제어시스템을 공급, 유지보수하고 있는 협력업체 전체에 대한 전수 조사도 필요하다는 지적이다.■한수원 해킹, 3.20-6.25 사이버테러와 유사

지난주 한국수력원자력이 관리하는 일부 웹사이트가 해킹돼 임직원들의 개인정보 1만799건이 유출된 데 이어 월성 1,2호기 제어 프로그램 해설서, 월성 1호기 감속재계통 ISO도면, 배관설치도면 등 기술자료가 인터넷 블로그에 게재되는 사고가 발생했다.

현재 한수원, 보안 전문가들을 통해 파악된 내용에 따르면 유출 사실이 확인된 곳은 한수원 임직원들이 사용하는 커뮤니티다. 이곳 서버가 해킹돼 내부에 저장됐던 한전 임직원들의 이름, 연락처 등이 유출된 것이다.

3.20, 6.25 사이버 공격때와 크게 다르지 않다. 당시 해커그룹이 자신들의 실력을 과시하기 위해 악용했던 도구도 소셜네트워크서비스(SNS), 각종 온라인 커뮤니티다.

트위터에 실시간으로 공격예고, 공격한 이유 등에 대해 올리는 한편 유출시켰다고 주장한 정보들을 패스트빈이라는 온라인 정보공유 커뮤니티에 올린 점까지도 한수원 해킹과 3.20, 6.25 사이버 공격은 유사하다.

일반적인 해킹이 돈을 노릴 목적으로 금융정보를 빼가는 반면 한수원 해킹은 3.20, 6.25때와 마찬가지로 정치적 목적을 가진 핵티비스트(hacktivist)가 시도했다.

6.25 공격 당시에는 '하이 어나니머스(high anonymous)'라고 지칭한 해커그룹은 청와대 홈페이지를 해킹해 메인화면에 북한 김정은 관련 사진을 도배하고, 임직원들의 신상정보를 유출시킨 바 있다. 유사한 점은 더 있다. 3.20, 6.25 사이버테러에서는 PC 부팅 영역에 해당하는 마스터부트레코드(MBR)를 파괴해 내부 시스템을 쓰지 못하게 하는 기능을 가진 악성코드가 악용됐다. 소니픽쳐스 해킹 건에서도 발견됐던 이 수법은 한수원을 노린 해킹에도 동원하려고 했었던 시도가 포착됐다.

하우리, 안랩 등 국내 보안회사들은 한수원 해킹과 관련 8일~9일께 MBR 파괴용 악성코드가 '제어 program(최신-W2).hwp'라는 이메일 첨부파일을 통해 유포됐다는 분석결과를 내놓았다. 이 첨부파일은 실제로 한수원 해킹을 통해 유출된 파일명과 같다는 점에서 공격자들이 지난해 대형 해킹사건과 마찬가지로 시스템 파괴까지 고려했던 것으로 파악된다.

3.20, 6.25 공격시 MBR 파괴기능을 시도했던 공격자들은 소스코드 안에 'anon', 'hastati', 'princepes'와 같은 문자열을 집어넣어 자신들이 누구인지를 밝히는데 주력했다.

한수원 해킹에서도 '원전반대그룹'이라고 부르는 이들은 악성코드 내에 'Who Am I?'라는 문구를 집어넣었고, MBR 파괴 기능이 작동할 경우 감염된 PC를 재부팅하면 첫 화면에 'Who Am I?'라는 문구가 표시되도록 했다.

공격자들은 한수원 해킹에서도 이전 사건들과 마찬가지로 정보를 조금씩 흘리면서 여론 추이를 지켜보는 한편, 자신들의 뜻대로 요구사항이 전달되지 않자 더 큰 공격을 가하겠다고 협박했다.

현재 원전반대그룹은 오는 크리스마스를 맞아 한수원이 원전가동을 중단하지 않는다면 더 많은 자료를 공개하고, 추가적인 공격을 가하겠다고 협박했다. 이 해커그룹이 악용한 트위터 계정에는 원전반대그룹 회장이라는 인물이 고리 1,3호기, 월성2호기를 크리스마스부터 가동 중단하는 조치를 취해줘야 할 것이라며 크리스마스에 중단되는게 안 보이면 자료 전부를 공개하고 2차 파괴를 실행할 수밖에...라는 내용을 올리면서 공격을 예고했다.

공격대상 홈페이지 메인화면을 위변조하는 디페이스 공격을 시도한 것은 물론 명분을 앞세워 해킹을 정당화했다는 점도 이전 사건과 유사하다. 특정시점을 정해놓고, 원하는 요구사항을 들어주지 않으면 더 큰 피해를 주겠다고 협박한 것도 이전 사건과 비슷한 흐름이다.

현재까지 파악된 정황만으로는 이전 사건과 직접적인 연관성을 알 수는 없으나 적어도 사회혼란을 조장하려는 공격자들이 유사한 프로세스를 통해 공격을 시도하는 만큼 이에 대응할 수 있는 실무적인 위기관리 및 대응 지침이 필요할 것으로 예상된다.

■망분리해도 해킹 된다

원전 관련 주무부처인 산업통상자원부는 21일 보도자료를 통해 원자력 안전에 영향을 주는 원전 제어망은 사내 업무망이나 사외 인터넷망과는 완전히 분리된 단독 폐쇄망으로 구성돼 있어 사이버 공격이 원천적으로 불가능하다며 17일 한수원 직원 개인정보 유출 사건 이후 자체 보안점검결과 원전 운영 안전과 관련한 문제점은 발견되지 않았다고 밝혔다.

그러나 망분리가 됐다고 해킹이 원천적으로 불가능한 것은 아니다. 전수조사를 통해 전체망에 대한 재점검이 필요한 이유다.

원전과 같은 국가기간시설은 크게 인터넷망, 내부망, 제어망으로 나뉜다. 각각의 망들은 서로 네트워크를 통한 연결이 차단되게 구성돼 있다. 문제는 서로 분리된 망들이라고 해도 USB등 외부저장매체를 통한 악성코드 감염가능성을 면밀히 점검할 필요가 있다는 것이다.

고려대 정보보호대학원 이경호 교수는 원전 설비를 유지보수하기 위해서는 많은 협력업체들이 USB나 노트북을 사용해 제어시스템에 접속하기 때문에 이 과정에서 문제가 발생할 수 있다고 지적했다.

기존에 이란 핵시설을 마비시킨 스턱스넷처럼 망분리된 시스템에서도 USB드라이브와 같은 외부매체가 악성코드 최초 감염경로로 악용될 수 있다는 설명이다.

관련기사

이 교수는 인터넷망과 업무망 사이 자료가 오가려면 일부 구간을 그레이존으로 만들어서 정보를 주고받도록 해야 한다며 제어망과 업무망은 일방향 통신 프로토콜을 사용하기 때문에 해킹 가능성은 매우 낮다고 밝혔다. 제어망에서 업무망으로 원전제어시스템을 관리, 점검하기 위해 필요한 정보가 나갈 수는 있어도 제어망 내부에 정보가 유입될 수는 없다는 것이다.

결국 원전반대그룹이 밝힌 것과 같이 제어시스템을 조작하는 수준의 해킹을 하려면 제어시스템을 구축한 개발회사를 통해 감염됐을 가능성이 높아지는 셈이다. 때문에 이 교수는 업무망에 USB드라이브 등 외부매체를 통해 유입된 악성코드가 오랫동안 잠복해 있다가 제어망에 전파되는 시나리오를 예상해 볼 수 있는 만큼 전수조사가 필요하다고 덧붙였다.