동아일보DB
‘한수원 유출 북한 해커조직 소행’
한수원 설계도 등을 공개 유출하며 원전 가동을 중단하라고 협박한 세력이 북한 해커조직의 소행으로 알려졌다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 오후 ‘한수원 사이버테러 사건’의 중간수사 결과를 발표하며 자료를 유출시키고 협박한 세력이 북한의 소행이라고 전했다.
합수단에 따르면 한수원 유출 범행에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘킴수키(kimsuky)’ 계열 악성코드와 구성 및 동작 방식이 거의 같아 이들의 소행임을 짐작케 했다.
또 악성코드에 이용된 프로그램 버그가 킴수키 계열 악성코드에 이용된 버그와 동일하며 킴수키 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역과 12자리 중 9자리까지 일치하는 것으로 확인됐다.
합수단은 이들이 자료를 빼내고 이메일 공격, 협박글 게시 등 루트로 도용한 국내 가상사설망(VPN) 업체가 관리하는 다른 접속 IP 중 지난해 12월 북한 IP 주소 25개와 북한 체신성 산하 통신회사 KTPC에 할당된 IP 주소 5개가 접속한 점도 북한 소행의 근거라고 설명했다.
원전 관련 자료는 한수원 내부 전산망에서 곧바로 유출된 게 아니고 전·현직 임직원과 협력사 관계자의 전자우편과 인터넷 커뮤니티에서 빼돌려진 것으로 나타났다. 합수단은 지난해 12월 다섯 차례, 지난 12일 한 차례 원전 관련 자료를 공개한 ‘원전 반대그룹’은 전자우편에 악성코드를 숨겨 피시를 감염시키는 방식으로 자료를 빼냈다고 밝혔다.