북 해커, kimsuky 계열 악성코드 사용..합수단 “피싱기법도 쓰여”
  • ▲ 최윤수 3차장검사가 17일 오후 서울 고등검찰청에서 한수원 사이버테러 사건 중간수사 결과를 발표하고 있다. ⓒ사진 연합뉴스
    ▲ 최윤수 3차장검사가 17일 오후 서울 고등검찰청에서 한수원 사이버테러 사건 중간수사 결과를 발표하고 있다. ⓒ사진 연합뉴스

    지난해 연말 사회적 불안을 초래한 한국수력원자력(한수원) 해킹 사건을 일으킨 범행 당사자가 북한 해커조직으로 보인다는 수사당국의 잠정 결론이 나왔다.

    특히 수사당국은, 북한 해커 조직이 사용해온 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드가, 한수원 직원 이메일 공격에 사용된 악성코드와 구성이나 동작방식이 거의 같다는 사실을 확인했다.

    한수원 해킹 사건을 수사해 온 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 부장검사, 이하 합수단)은 17일 중간수사결과 발표를 통해, “한수원 해킹은 북한 해커 조직의 소행으로 잠정결론을 내렸다”고 밝혔다.

    앞서 자신들이 한수원을 해킹했다고 밝힌 ‘원전반대그룹(Who Am I)’은, 지난해 12월15일부터 이달 12일까지 모두 6차례에 걸쳐, 한수원 내부 자료를 공개하면서 원전 중단을 공개적으로 협박했다.

    해커들은 지난해 12월15일 포털사이트 네이버에 ‘우리는 원전반대그룹! 끝나지 않은 싸움’이라는 글을 게시하고, 한수원 임직원 주소록 파일 등을 1차로 공개했다.

    해커들은 이어 같은 달 18일과 19일, 21일, 23일 트위터를 통해 “크리스마스 때까지 원전 가동을 중지하고, 100억 달러를 주지 않으면, 보유한 원전 관련 자료를 계속 공개하겠다”는 협박성 글을 추가로 올렸다.

    해커들은 이달 12일 다시 활동을 재개해, 트위터에 “돈이 필요하다”는 글과 함께, 한수원의 원전 도면 등을 다시 공개했다. 당시 이들은 러시아 블라디보스톡 IP를 이용해 트위터에 접속했다.

    합수단은 해커들이 공개한 자료의 유출 경로를 수사한 결과, 이들 자료들이 한수원 내부망이 아니라, 한수원 전현직 임직원과 협력업체 임직원들의 개인 이메일 계정 해킹을 통해 유출됐다는 사실을 확인했다.

    합수단은 해커들이 한수원 관계자 개인 이메일 등을 통해 자료를 빼내는 과정에서, 이른바 ‘피싱(phishing)’ 기법을 통해 메일 비밀번호 등을 수집한 사실도 파악했다.

    합수단에 따르면 해커들은 본격적인 협박에 앞선 지난해 12월 9일부터 12일 사이, 한수원 직원 3,571명에게 5,986통의 악성코드(파괴형) 이메일을 발송했다. 이로 인해 한수원 PC 8대가 감염되고, 이 가운데 5대의 PC가 초기화되는 피해를 입었지만 원전 운용이나 안전에는 이상이 없었다.

    해커들은 이메일 공격이 사실상 실패로 돌아가자, 앞서 피싱을 통해 확보한 한수원 내부 자료를 트위터 등을 통해 공개하면서 협박의 수위를 높인 것으로 합수단은 판단했다.

    합수단은 이번 수사를 위해 국정원과 경찰청 사이버안전국, 안랩 등 국내 민관 전문가들은 물론, 미국과 중국, 일본, 태국, 네덜란드 등 한수원 협박에 사용된 IP 서버 경유지 국가들과 국제수사 공조를 통해 범인을 추적했다.

    수사 결과 해커들은 대부분 중국 선양 지역의 IP를 통해 국내 H사의 VPN(가상 사설 네트워크) 업체 IP로 접속했다. 이를 통해 해커들은 네이버와 다음 등 국내 포털사이트와 트위터 등에 협박성 글과 자료를 공개할 수 있었다.

    합수단은 협박성 글을 게시하는 데 사용된 네이버 등 포털 가입자 아이디의 경우, 해커들이 명의를 도용한 사실도 확인했다.

    합수단이 한수원 해킹을 북한 해커의 소행으로 잠정 결론지은 결정적 근거는, 한수원 직원들에 대한 이메일 공격에 사용된 악성코드가 북한 해커들이 사용하는 것으로 알려진, ‘kimsuky(김수키)’ 계열 악성코드와 구성 및 동작 방식이 거의 같기 때문이다.

    한수원 직원들에게 보낸 이메일 악성코드에 이용된 ‘글 프로그램’ 버그와 ‘kimsuky’ 계열 악성코드에 쓰인 버그가 같다는 사실도, 한수원 해킹이 북한 해커의 소행이라는 잠정 결론에 힘을 실어준다.

    해커들이 협박성 글을 올릴 때 사용한 중국 선양 지역 IP 주소 12자리 가운데 9개가, 일부 ‘kimsuky’ 계열 악성코드와 일치한다는 사실도 이런 추론을 뒷받침한다.

    중국 선양 지역 IP 대역은 북한 압록강 주변에서 무선 인터넷 중계기 등을 이용해 접속할 수 있다는 것이 전문가들의 분석이다.

    ‘kimsuky’는 2013년 세계적인 러시아 보안회사 카스퍼스키가 북한에서 만들어진 것으로 추정한 악성코드로, 발견 이후 다양한 유사 악성코드가 확인되고 있다.

    합수단은 “금전보다는 사회적 혼란 야기를 목적으로 한 북한 해커조직의 소행으로 판단한다”며, 철저한 수사를 강조했다.