정부가 3.20, 6.25 사이버테러에 이어 한국수력원자력 해킹사건도 사회혼란을 초래할 목적으로 북한이 주도한 공격으로 보인다고 잠정 결론을 내렸다.
대검찰청 개인정보범죄 합동수사단이 지난해 12월15일부터 올해 3월12일까지 6차례에 걸친 한수원 해킹 협박 사건에 대해 이 같은 결론을 내렸다고 17일 밝혔다.
합수단은 이 사건에 악용된 악성코드와 인터넷접속IP를 분석한 결과, 이메일 공격에서 북한 해커조직이 자주 쓰는 것으로 알려진 일명 '김수키(kimsuky)'라는 악성코드 변종이 쓰였으며, 동작방식이 거의 같았다고 발표했다.
특히 문서프로그램인 한컴오피스 한글에서 발견된 취약점이 김수키 계열 악성코드에 그대로 악용됐다는 점을 근거로 들었다. 또한 이 악성코드들의 IP 일부가 한수원 관련 각종 협박글을 올리는데 활용됐으며, 중국 선양 IP대역들과 12자리 중 9자리까지 일치한다는 사실을 밝혀냈다고 설명했다.
이어 해킹범들이 자료를 탈취, 악성 이메일 공격, 협박글을 게시하기 위해 사용한 국내 H사의 가상사설망(VPN) 서비스를 분석한 결과, 지난해 12월 하순 북한 IP주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP주소 5개가 접속한 흔적인 발견됐다.
이어 국민안전과 직결되는 사인인 만큼, 국민들을 지속적으로, 공개적으로 협박해 사회불안을 조장할 목적을 가진 사건이었다고 결론지었다.
한수원 해킹범은 '원전반대그룹 회장 미핵'이라는 이름으로 트위터 등을 통해 고리, 월성 원전을 가동중단시키지 않으면 파괴시키겠다고 협박하고, 관련 도면과 한수원 임직원들의 명단을 담은 악성 이메일 첨부파일을 발송한 바 있다.
합수단은 조사결과, 한수원 임직원 3천571명에게 악성 이메일 5천986통이 전달됐으며, 여기에 포함된 악성첨부파일(hwp) 안에는 파일실행 장애, 하드디스크 초기화, 네트워크 장애유발 등 기능은 있었으나 이를 악용한 자료유출 기능은 없었던 것으로 확인됐다고 발표했다.
총 6차례 협박글 중 5차까지는 중국 선양IP 대역을 이용해 게시됐으며, 지난 12일 돈을 요구하는 협박글은 러시아 블라디보스토크 소재 IP를 악용했다.
이어 합수단은 6차례 협박을 통해 공개한 94개 파일에는 한수원 임직원 주소록, 전화번호부, 원전관련 도면 등 파일이 담겨있었으며, 한수원이 자체점검한 결과 원전운용과 관련한 핵심자료가 아니라 교육용 일반문서들이었다고 밝혔다.
이에 따라 해킹범들의 주장처럼 지난해 내부망에서 직접 기밀자료가 유출된 것이 아니라 한수원 협력업체나 임직원들의 이메일에 공개된 자료들을 유출시킨 것으로 조사됐다.
관련기사
- 한수원 해킹범, 원전자료 또 공개2015.03.17
- "한수원 해킹 사고는 인재"…여야 한목소리2015.03.17
- 오리무중 한수원 해커, 한심한 주먹구구 대응2015.03.17
- 한수원 해킹, 수 개월전 시작 가능성 높다2015.03.17
앞으로 합수단은 해킹에 악용된 6천개 이메일에 사용된 IP주소 및 악성코드를 추적하는 한편, 이메일 계정 발급, 도용, 접속 경위와 악성코드 제작, 유통경로 등을 파악할 계획이다.
또한 미국, 중국, 태국 등과 국제 공조를 통해 해킹집단의 실체를 파악하는데 주력할 것이라고 덧붙였다.