본문 바로가기

北 악성코드는 kimsuky…한수원 유출 북한 해커조직 소행

온라인 중앙일보 2015.03.18 00:30
한수원 유출 북한 해커조직 소행




한수원 유출 북한 해커조직 소행…北 악성코드는 kimsuky(김수키)



개인정보범뷔 정부합동수사단은 17일 한국수력원자력을 해킹해 설계도 등 기밀정보를 공개하며 원전 중단을 협박해온 세력들이 북한 해커 조직으로 추정된다고 밝혔다.



합수단은 이날 중간수사결과를 발표해 이번 범행을 북한 해커 조직의 소행으로 잠정 결론내렸다.



해커 조직의 범행은 계획적이고 치밀했다. 이들은 한수원 관계자들의 이메일에 '피싱(phishing) 메일'을 보내 비밀번호를 차례차례 수집한 후 그 계정에서 자료들을 수집했다.



수집한 이메일 계정을 바탕으로 지난해 12월 9일부터 12일까지 나흘간 진행된 이메일 공격을 했지만 사실상 실패로 돌아가자 해킹으로 취득한 한수원 자료를 공개하며 협박을 한 것으로 합수단은 분석했다.



한수원 유출 북한 해커조직 소행

이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 'kimsuky(김수키)' 계열 악성코드와 그 구성과 동작방식이 거의 같은 것으로 드러났다. 또 악성코드에 이용된 '한글 프로그램'의 버그(취약점)가 'kimsuky' 계열 악성코드에 이용된 버그와 동일했고, 'kimsuky' 계열 악성코드들의 IP 일부가 중국 선양 IP 대역들과 12자리 중 9자리까지 일치한 것으로 파악됐다.



앞서 해커들은 지난해 12월 15일 포털사이트(네이버)에 '우리는 원전반대그룹! 끝나지 않은 싸움'이라는 글을 게시하며 한수원 임직원 주소록 파일 등을 1차로 공개했다.



합수단은 국가정보원, 대검 과학수사부·국제협력단, 경찰청 사이버안전국, 방송통신위원회, 한국인터넷진흥원, 안랩(AhnLab) 등과 공조수사를 진행하는 한편, 경유지 IP 서버 소재지인 미국, 중국, 일본, 태국, 네덜란드 등과도 국제수사공조를 통해 범인을 계속 추적할 계획이다.



합수단 관계자는 "이번 범행은 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박을 해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건임이 밝혀졌다"며 "북한 해커조직의 소행으로 판단하고 철저히 수사를 계속하겠다"고 말했다.



온라인 중앙일보

한수원 유출 북한 해커조직 소행 [일러스트 중앙포토]
공유하기
광고 닫기