한수원 유출 북한 해커조직 소행, ‘kimsuky’ 계열 악성코드와 방식 거의 같아

동아DB

‘한수원 유출 북한 해커조직 소행’

한국수력원자력(한수원)의 원전 설계도면 등 내부자료 유출사건이 북한 해커조직 소행이라는 결과가 발표됐다.

개인정보범죄 정부합동수사단은 17일 한수원의 원전 설계도면 등 내부자료 유출사건에 대한 중간수사 결과를 발표했다. 합수단은 한수원 유출사건이 북한 해커조직 소행이라고 결론 냈다.

합수단에 따르면 해커는 지난해 12월 9일~12일 한수원 직원 3571명에게 총 5986통의 악성코드가 담긴 이메일을 발송해 PC 하드디스크 등의 파괴를 시도했다. 이로 인해 직원 PC 8대가 감염되고 이중 5대의 하드디스크가 초기화됐다. 이는 원전 운용이나 안전에는 직접적인 영향을 미치지 않았다.

합수단은 한수원 해킹에 쓰인 악성코드 및 인터넷 접속 IP 등을 분석한 결과, 북한 해커조직이 사용하는 것으로 알려진 이른바 ‘kimsuky(김수키)’ 계열 악성코드와 구성·동작 방식이 거의 같다고 전했다.

또 ‘kimsuky’ 계열 악성코드들의 IP 일부가 중국 선양 IP 대역들과 12자리 중 9자리가 일치했다고 합수단은 밝혔다.

합수단은 이같은 정황을 종합적으로 고려해 한수원 내부자료 유출사건이 북한 해커조직 소행이라고 판단했다. 이들은 금전적 이득보단 사회적 혼란을 야기하는데 목적을 둔 것으로 추정됐다.

앞서 한수원을 해킹했다고 자처한 원전반대그룹(Who Am I)은 지난해 12월 15일부터 올해 3월 12일까지 총 6차례에 걸쳐 한수원 관련 자료를 공개하며 원전 중단을 협박했다. 이후 이달 12일 러시아 블라디보스토크 IP를 이용해 트위터상에 ‘돈이 필요하다’는 내용의 글과 함께 한수원의 원전 도면 등을 또 다시 공개했다.

이는 한수원 내부망 직접 유출이 아닌 퇴직자나 협력업체 직원 이메일, 커뮤니티 등을 통해 자료를 유출한 것으로 조사됐다.

합수단은 경유지 IP 서버 소재지인 미국, 중국, 일본, 태국, 네덜란드 등과 국제수사공조를 통해 해커를 추적할 계획이다.

사진제공=한수원 유출 북한 해커조직 소행/동아DB
동아닷컴 디지털뉴스팀 기사제보 dnews@donga.com