[단독]北해킹조직 ‘킴수키’, 2년전에도 원전 공격 시도한듯

악성코드 심은 ‘IAEA 자료’ 메일… 원전기관 관계자들에 보낸 정황
2014년 12월 한수원 공격한 해커… IP주소 9자리 ‘킴수키’와 동일

지난해 12월 한국수력원자력(한수원)을 공격한 해커와 연계됐다는 의혹을 받고 있는 북한의 해킹 조직 ‘킴수키(kimsuky)’가 2년 전에도 국내 원전 관련 기관들을 공격한 정황이 발견됐다. 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 2010년경부터 국방부와 통일부 등을 주로 해킹하며 악명을 떨친 킴수키가 수년 전부터 이 기관들을 노려왔을 것으로 보고 수사하고 있다.

4일 합수단과 보안업계에 따르면 2013년 8월 말 ‘제57차 국제원자력기구(IAEA) 총회 참가자료’라는 제목의 한글(hwp) 파일이 국내 백신업체들에 포착됐다. 표면적으로는 정상적인 문서지만 파일을 열면 숨겨진 악성코드가 작동해 PC 내부 자료를 해커의 e메일로 자동 전송시키는 방식이었다. 당시 업계는 해당 악성코드의 핵심 기술인 ‘셸코드’가 킴수키 고유의 것과 일치한다는 결론을 내렸다.

해당 문서에는 같은 해 9월 열린 IAEA 총회 중 한미 양국 수석대표 면담 일정이 담겨 있었고, 한수원 연구원장과 한국원자력연구원장, 한국원자력의학원장 등 원전 관련 기관의 대표들도 참석자로 언급돼 있었다. 합수단과 보안업계는 킴수키가 e메일 해킹 등을 통해 미리 이 기관들에서 해당 문서를 빼돌렸고, 여기에 악성코드를 심은 뒤 다시 원전 업계에 유포했을 것으로 보고 있다. 보안업체 하우리의 최상명 차세대보안연구센터장은 “원전 업계를 노린 해킹 시도가 이때부터 이어져 왔을 개연성이 크다”고 말했다.

합수단은 지난해 12월 원전 해커가 한수원을 해킹하고 내부 자료를 유포할 때 접속한 인터넷주소(IP주소) 12자리 중 앞 9자리가 킴수키의 것과 같다는 사실도 확인하고 이들의 연계 가능성에 무게를 두고 있다. ‘175.○○○.○○○’로 시작하는 해당 IP주소들은 전부 중국 선양(瀋陽)의 특정 가상사설망(VPN) 업체를 경유한 것으로 추정된다. 합수단 관계자는 “이들이 물리적으로도 매우 인접해 있었을 가능성을 보여주는 것”이라고 말했다.

한편 합수단은 지난해 원전 공격 당시 해커가 조석 한수원 사장의 PC를 직접 노렸을 가능성을 감안해 조 사장의 PC도 분석 중이다. 특히 합수단은 원전 해커가 지난해 12월 15일 트위터에 1차 공개한 자료 중 ‘모하메드 아랍에미리트(UAE) 왕세제 앞 서한’ 한글 파일이 조 사장의 PC에서 작성됐을 가능성을 눈여겨보고 있는 것으로 전해졌다. 다만 아직까지 조 사장의 PC에서 악성코드는 검출되지 않았다.

조건희 becom@donga.com·변종국 기자