본문 바로가기

한수원, 수천 통 메일폭탄 공격받았다

중앙일보 2014.12.26 02:30 종합 1면 지면보기
한국수력원자력(한수원) 내부 자료 유출은 해커들이 퇴직 직원들의 계정을 도용해 현직 직원들에게 보낸 ‘e메일 폭탄’에서 시작된 것으로 추정된다. 옛 동료의 e메일로 알고 무심코 열어본 직원들의 PC가 악성코드에 감염되면서 ‘원전 안전해석코드(SPACE)’ 같은 기밀 자료가 유출됐다는 것이다.


해커들, 퇴직자 e메일 도용해 악성코드 300개 심어
선양서 직원 수백 명에게 보내 … 감염 PC로 기밀 유출
협박범과 동일인 추정 … '성탄절 원전 공격' 은 없어

 서울중앙지검 개인정보범죄 정부합동수사단(단장 이정수)은 25일 “해커들이 지난 12월 9일 중국 선양 소재 인터넷주소(IP) 20여 개로 접속해 한수원 직원 수백 명에게 수천 통의 e메일을 발송한 사실을 확인했다”고 밝혔다. 합수단은 “e메일에는 악성 코드 300여 종을 숨겨놓은 한글 파일을 첨부했으며 제목을 특정 도면이나 제어프로그램 등 업무를 가장해 미끼성으로 달았다”고 덧붙였다.



 합수단은 e메일 폭탄을 보낸 해커들이 지난 15일부터 트위터 등에 한수원 유출 자료와 협박 글을 게시해온 자칭 ‘원전반대그룹’과 동일범인 것으로 보고 있다. ‘원전반대그룹 회장 미 핵’이 지난 23일 트위터를 통해 다섯 번째 협박 글을 게시하면서 “12월 9일을 역사에 남도록 하겠다”며 한수원을 해킹한 날짜를 밝혔기 때문이다. e메일을 보낸 해커들과 원전반대그룹 모두 선양에서 인터넷에 접속했다는 점도 동일 조직·그룹이거나 동일인으로 볼 수 있는 정황이라고 합수단은 말했다.



 합수단에 따르면 해커들은 한수원에서 퇴직한 임직원 수십 명의 포털사이트 다음의 e메일 계정(ID)을 도용해 현직 임직원 수백 명에게 무차별 e메일 공격을 했다고 한다. 피싱 메일로 의심받지 않도록 9개 단위로 메일 제목을 바꾸며 다른 악성 파일을 첨부했다. 합수단은 협박 내용처럼 제어프로그램을 원격 조종해 원전을 정지시킬 수 있는 악성코드도 포함돼 있는지 코드 분석작업을 진행 중이다.



 한편 이날 원전반대그룹이 공언했던 크리스마스 원전 공격 사태는 벌어지지 않았다. 당초 원전반대그룹은 “25일까지 3개 원전(고리 1·3호기, 월성 2호기)을 멈추지 않으면 파괴를 실행하겠다”고 협박했다.



 청와대는 김관진 국가안보실장 주재로 사이버 안보 위기평가회의를 연 뒤 “원전 가동 중단이나 위험한 상황이 초래될 가능성은 없는 것으로 평가됐다”고 밝혔다.



정효식 기자, 세종=이태경 기자
공유하기
광고 닫기