본문 바로가기

중국 "해킹 공격에 공동 대응" 한국 사법공조 요청 수용 시사

중앙일보 2014.12.26 02:30 종합 3면 지면보기
지난 9일 한국수력원자력(한수원)에 악성 코드 300여 종이 담긴 e메일이 대량 발송된 것으로 드러나면서 검찰은 악성 코드의 유형을 분석하는 데 수사력을 모으고 있다. 이 중 발전소를 실제 가동하는 원전 중앙감시제어(SCADA) 프로그램을 멈추거나 조작하는 악성 코드가 있다면 원전 안전에 직접적으로 영향을 미칠 수 있다고 판단해서다.


'175'로 시작하는 선양 IP 주소
원전 협박범도 해커도 접속 확인

 서울중앙지검 개인정보범죄 정부합동수사단(단장 이정수)은 25일 “악성 코드들이 단순히 컴퓨터 하드디스크 기록을 지우는 유형인지, 원격 제어를 하거나 파일을 빼내는 유형인지 확인하고 있다”고 밝혔다. 이어 “악성 코드 감염 시점은 e메일이 발송된 지난 9~10일이 유력하지만 그 이전일 수도 있다”고 설명했다.



 검찰은 2009년 7월 한국·미국 정부 홈페이지의 디도스(DDoS) 공격, 2011년 4월 농협 전산망 해킹, 2012~2013년 언론사 등 공격에 이용된 악성 코드와의 유사성을 살펴보고 있다. 디도스는 일시적으로 접속 트래픽을 급격하게 늘려 홈페이지를 마비시키는 기능을 한다. 언론사 공격 등에 이용된 악성 코드는 하드디스크를 파괴하고 일부 내부 자료를 빼가기도 했다.



 검찰 관계자는 “예전과 동일한 코드를 쓰지는 않을 것으로 본다. 기존 코드에서 진화한 형태인지 분석 중”이라고 말했다. 이와 관련해 원전반대그룹은 지난 15일 네이버 블로그에 “원전 설계, 제어 프로그램, 모든 기밀 자료 손에 넣음”이라고 썼다.



 검찰은 또 원전반대그룹과 악성 코드 유포자의 인터넷주소(IP) 12자리 가운데 11자리가 일치하는 등 유사성이 있다는 사실을 확인했다. 모두 ‘175’로 시작하는 IP로 중국 선양시에서 접속한 것으로 나타났다. e메일 계정이 도용된 한수원 퇴직자들의 퇴직 시기를 고려할 때 악성 코드 유포자들은 적어도 1~2년 전부터 한수원 임직원의 개인정보를 수집해왔을 것이라는 게 검찰의 설명이다.



 그간 한수원은 “외부망과 원전 제어시스템이 있는 내부망은 엄격히 분리돼 있고, 악성 코드에 감염된 PC 4대 역시 하드디스크만 파괴됐을 뿐 자료가 유출되진 않았다”고 강조해왔다. 하지만 2012년 12월 감사원 감사에서 한수원은 중앙감시제어 시스템을 일반 업무처리용 업무망과 독립적으로 운용하지 않았다는 사실이 드러났다. 고리 원전 등에서 직원들이 외부 인터넷과 연결해 쓰는 업무용 PC를 내부 시스템에 임의로 연결해 쓴 사실도 적발됐다.



 ◆중국 “해킹 행위 반대”=화춘잉(華春瑩) 중국 외교부 대변인은 24일 한수원의 원전 도면 등 유출 사건과 관련해 “해킹 문제에 대해 각국과 공동 대응할 것을 희망한다”고 말했다. 그는 또 “모든 형태의 해킹 행위를 반대하며 해킹 공격은 전 세계적 문제로 이를 해결하기 위해 (중국은) 각국과 건설적인 대화와 협력을 강화할 것”이라고 덧붙였다. 한국 측의 사법 공조 요청에 대해 협력할 뜻이 있음을 시사한 것이다.



베이징=최형규 특파원, 이유정 기자
공유하기
광고 닫기