“원전해커 사용 악성코드 핵심기술 北조직 킴수키 기술과 99.9% 일치”

檢, 북한 소행으로 최종 결론
北 IP주소 30개 접속흔적 발견… 우회해킹에 한수원 속수무책

1월 24일자 8면.

검찰이 지난해 크리스마스를 앞두고 원자력발전소 도면 등 한국수력원자력 내부 자료를 공개하며 원전 가동 중단을 요구했던 해커의 배후가 북한이었다는 결론을 내렸다. 검찰은 북한이 원전 제어망 공격에 실패하자 국내 혼란과 갈등을 부추기기 위해 자료를 공개한 것으로 판단했다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)은 17일 원전 해킹이 북한의 해커 조직 ‘킴수키(kimsuky)’의 소행으로 판단된다며 해킹에 사용된 인터넷주소(IP주소)를 강력한 정황 증거로 꼽았다.

합수단 분석 결과 해커가 지난해 12월 15∼23일 5차례에 걸쳐 트위터 등에 한수원 자료 65건을 공개할 때 사용했던 중국 선양(瀋陽)의 IP주소는 과거 킴수키 조직이 사용한 것과 12자리 중 9자리까지 일치했다. 또 우회 접속에 활용된 한 국내 가상사설망(VPN) 업체의 서버에서는 북한 체신성 산하 조선체신회사(KPTC) 등 북한 측 IP주소가 접속한 흔적이 30건 발견됐다. 악성코드의 핵심 기술 ‘셸코드’도 킴수키의 고유 기술과 99.9% 일치했다. 합수단 관계자는 “도둑이 범행 현장에 남긴 발자국이 상습범(북한)의 것과 일치한 것이나 다름없다”고 말했다.

해커는 지난해 7월경부터 상대적으로 보안이 취약한 한수원 협력업체들의 e메일을 해킹한 뒤 이들과 연락한 한수원 전현직 임직원의 e메일을 해킹하는 방식으로 첨부파일을 빼돌린 것으로 조사됐다. 특히 한수원 퇴직자의 아이디(ID)와 비밀번호를 이용해 임직원 커뮤니티에서 빼돌린 주소록은 지난해 12월 9일 한수원 직원 3571명에게 악성코드 공격을 감행할 때 활용됐다. 합수단은 해커가 이달 12일 공개한 박근혜 대통령과 반기문 유엔 사무총장의 통화내용에 대해 “진위와 유출 경위를 계속 수사하겠다”고 밝혔다.

보안 업계에서는 킴수키 일당 중 일부가 선양 등지에서 공개적으로 활동한다는 주장도 제기됐다. 킴수키의 악성코드와 e메일 계정에 자주 등장하는 ‘리송호(RSH)’라는 인물이 중국 사이트에 ‘컴퓨터 프로그래밍을 하는 프리랜서’라고 구직 정보를 올린 흔적도 발견됐다. 리송호의 e메일 계정 중 일부는 북한의 대남 선전 웹사이트 ‘우리민족끼리’에 회원으로 가입돼 있다.

통일부는 17일 “북한의 해킹은 우리 안보에 대한 명백한 도발”이라며 사이버테러를 즉각 중단할 것을 촉구했다.

조건희 becom@donga.com·변종국 기자