본문 바로가기

"북한이 한수원 해킹 … 북 해커가 쓰는 킴수키 쓰여"

중앙일보 2015.03.18 01:06 종합 10면 지면보기
지난해 말 한국수력원자력(한수원)의 원전 도면 유출 사태는 북한 해커집단이 장기간 준비해 실행한 사이버 공격이었다고 수사 당국이 결론 내렸다.


합수단 "북 체신성 기관, 국내 접속"
원전 중단 협박 단체도 같은 조직
'아래아 한글' 공격하는 버그도

 개인정보범죄 정부합동수사단(단장 이정수)은 17일 “지난해 12월 9~12일 한수원에 뿌려진 악성코드는 북한 해커조직이 사용하는 ‘킴수키(kimsuky)’ 악성코드와 같다”고 밝혔다. 킴수키는 2010년 이후 북한이 한국 국방부, 통일부 등을 해킹할 때 사용한 악성코드다. 합수단은 또 “이 시기 북한 체신성 산하 기관이 국내 가상사설망(VPN)으로 30회가량 접속한 흔적도 발견했다”고 덧붙였다.



 합수단에 따르면 자칭 ‘원전반대그룹’은 지난해 12월 말부터 최근까지 6차례 국내 포털과 트위터 등에 “성탄절 전까지 원전 가동을 중단하지 않으면 원전 설계도면을 공개하겠다”는 등의 글을 올렸다. 한수원 임직원 주소록·전화번호와 원전 안전해석코드(SPACE), 월성·고리원전 설계도면 94건도 공개했다. 이들이 공개한 자료는 한수원 내부가 아닌 협력사 직원 등의 e메일과 PC에서 빼낸 것이라고 한다. 또 해킹에 사용된 악성코드에 한국에서 주로 쓰이는 ‘아래아 한글’ 프로그램을 공격 대상으로 한 버그가 사용됐다고 한다. 합수단은 원전 가동 중단 협박을 해 온 원전반대그룹과 한수원 악성코드 유포자가 동일한 북한 해커조직이라고 판단했다. 근거는 지난해 12월 9~12일 한수원에 뿌려진 악성코드의 IP 주소, ‘킴수키’ 계열 악성코드의 IP 주소, 원전반대그룹 IP 주소의 12자리 중 9자리가 ‘175.167.***.***’으로 일치했다. 한수원이 악성코드 공격을 받은 지난해 12월 하순께 북한발 IP 주소 25개, 중국 베이징 소재 북한 체신성 산하 통신회사 KPTC의 IP 주소 5개가 국내에 접속한 기록도 발견됐다. 모두 북한 체신성 산하 해커조직들이 위장해 활동하는 중국 선양 지역→국내 H사의 사설망을 거쳐 접속했다.



 합수단 관계자는 “이번 공격은 최소 10명 이상이 1년 이상 준비해 온 것”이라고도 했다. 합수단은 ‘유엔 사무총장과 박근혜 대통령 통화요록’이란 제목의 대화 녹취록을 원전반대그룹이 지난 12일 공개한 것과 관련, 미국 뉴욕 유엔본부 해킹 여부를 미 연방수사국(FBI)과 공조 수사하고 있다.



이유정 기자 uuu@joongang.co.kr
공유하기
광고 닫기