原電해커, 공격에 쓸 e메일 계정 몇달전 확보

檢, 악성코드 e메일 3000통 분석
“종사자가 보낸 것처럼 내용 꾸며… 여러명 오랜 기간 치밀하게 준비”

‘원자력발전소 해커’는 한국수력원자력 직원들에게 악성코드를 보낼 때 관련 업계 종사자가 보낸 통상적인 e메일인 것처럼 문구를 정밀하게 꾸미는 등 치밀한 교란 전략을 짠 것으로 26일 확인됐다. 검찰은 해킹 공격의 치밀함 등에 비추어 여러 명으로 이뤄진 해커그룹이 오랜 기간 한수원을 타깃으로 해킹을 준비했을 가능성이 높다고 보고 해커를 추적 중이다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 해커가 이달 9일 발송한 악성코드 e메일 3000여 통 중 일부를 분석한 결과 한수원 직원들이 무심코 문서를 열어 보게끔 유도하는 내용이 다수 포함돼 있었던 것으로 파악했다.

합수단에 따르면 e메일에는 “RRS(원자로핵연료교환시스템) 프로그램입니다”, “증기발생기 자동 감압 내용 참고하세요” 등 한수원 직원들이 주로 사용하는 업무 용어와 약어가 자주 사용됐다. “수정할 부분이 많은데 제출 기한이 오늘까지라 아쉽네요”라며 악성코드가 숨겨진 한글 파일을 실행하도록 유도하는 문구도 있었다. 한글 파일에도 ‘제어프로그램(최신W-2)’ ‘시방서’ 등 업무에서 흔히 사용되는 단어를 이용해 ‘미끼’성 제목을 붙였다. 합수단은 해커가 한수원 퇴직자 55명의 개인 e메일을 도용해 공격에 활용한 이유도 한수원 직원들의 경계심을 누그러뜨리려는 전략이었다고 보고 있다.

실제로 일부 한수원 직원들은 악성코드가 숨겨져 있는 줄 모르고 해당 파일을 업무에 참고하기 위해 내부망용 PC에서 실행했다가 자료가 파괴되는 등의 피해를 보았다. 외부 e메일을 주고받을 수 있는 외부망에서 원전 제어시스템 등이 연결된 내부망으로 자료를 옮길 땐 바이러스 검사를 거치도록 돼 있지만 9일엔 이 과정에서 해당 악성코드가 검출되지 않았다고 한다.

합수단은 해커가 오래전 해킹에 사용할 e메일 계정과 비밀번호를 미리 확보해 둔 정황도 발견했다. e메일 공격에 도용된 계정 211개의 접속 기록을 확인한 결과 해커의 근거지로 추정되는 중국 선양(瀋陽)의 인터넷주소(IP주소)에서 연결된 흔적이 공격 수개월 전부터 이어져 온 것으로 나타났다.

원전 해커가 북한과 연계됐는지도 정밀 분석 대상이다. 해커가 사용한 악성코드를 직접 분석한 한 보안전문가에 따르면 악성코드가 제작된 PC의 사용자 이름은 ‘assembly’(국회) ‘mnd’(국방부) 등인 것으로 파악됐다. 과거 북한의 해킹 공격 대상에 올랐던 국내 기관명이 PC의 이름으로 사용된 배경도 확인 대상이다. 합수단은 지난달 25일 미국 소니픽처스를 공격한 북한 해커의 IP주소도 미국 연방수사국(FBI)에 요청할 계획이다.

변종국 bjk@donga.com·조건희 기자