[단독]“한수원 공격 원전해킹, 北조직 ‘킴수키’ 소행 가능성”

정부합동수사단 연관성 분석
5년간 한국정부-연구소 해킹 조직과 악성코드 핵심기술 90%이상 일치
e메일 통한 자료 빼내기도 비슷… 美 소니社 해킹과는 유사성 낮아

지난해 말 한국수력원자력(한수원)을 공격했던 ‘원전 해커’가 2010년경부터 국방부 등을 해킹해 온 북한 해킹 조직 ‘킴수키(kimsuky)’와 연계됐을 가능성이 새롭게 제기됐다. 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 23일 원전 해커와 킴수키의 수법을 정밀 비교하며 이들의 관련성을 분석 중이다.

합수단과 보안업계에 따르면 ‘킴수키’는 2010년경부터 최근까지 국방부 통일부 한국국방연구원 등 정부 부처와 유관기관을 해킹해 사회기반 시설과 탈북자 관련 자료를 탈취해 온 북한의 해킹 조직이다. 2013년 러시아의 한 정보보안업체가 해커의 e메일 계정 ‘김숙향(kimsukyang)’을 딴 이름으로 보고서를 발표하면서 북한의 해킹 조직 중 하나로 세상에 알려졌다.

원전 해커와 킴수키는 해킹 수법과 도구 등 다방면에서 유사성이 있는 것으로 검찰은 파악하고 있다. 특히 원전 해커가 지난해 12월 9일 한수원 직원들에게 e메일로 보낸 악성코드의 핵심기술 ‘셸코드’는 킴수키가 사용해온 고유 기술과 90% 이상 일치하는 것으로 알려졌다. 보안업체 하우리의 최상명 차세대보안연구센터장은 “해당 셸코드는 모방이 어려운 데다가 킴수키가 아닌 다른 조직이 사용한 사례도 발견된 적이 없다”고 말했다.

자료를 빼내는 방식도 유사했다. 합수단은 원전 해커가 지난해 8, 9월 한수원 전·현직 직원들의 외부 e메일로 가짜 입력창을 보내 비밀번호를 입력하도록 유도한 뒤 원전 도면 등 자료를 탈취해 온 것을 확인했다. 보안업계에서는 이 방식이 킴수키가 2010년경 통일부 내부 자료 탈취에 활용했던 것과 유사성이 높다고 보고 있다. 원전 해커와 킴수키의 인터넷주소(IP주소)도 모두 중국 선양(瀋陽)의 가상사설망(VPN) 업체였다. 다만 업계에서는 원전 해커가 킴수키와 달리 ‘하드디스크 파괴형’ 악성코드를 활용했다는 점을 들어 동일범이라고 단정할 수는 없다는 반론도 나오고 있다.

한편 합수단은 지난해 11월 북한이 미국 소니픽처스를 공격할 때 사용한 악성코드를 분석한 결과 한수원 해킹에 사용된 것과는 유사성이 낮다는 쪽으로 가닥을 잡았다. 합수단은 원전 해커가 일단 소니픽처스 해커와는 별개의 조직일 가능성에 무게를 두고 미국 연방수사국(FBI)에 범행에 사용된 IP주소 등을 요청한 상태다.

조건희 becom@donga.com·변종국 기자