[헤럴드경제=이태형 기자] 지난해 12월부터 한국수력원자력(이한 한수원) 자료를 공개하며 원전을 중단시키겠다고 협박한 사건에 대해 수사 당국이 북한 소행으로 잠정 결론을 내렸다.
개인정보범죄 정부합동수사단(단장 이정수)은 한수원 사이버테러 사건 중간수사결과에서 이번 협박 사건은 금전 목적보다는 사회적 혼란을 야기할 목적으로 북한 해커조직이 저지른 것이라고 17일 밝혔다.
합수단 수사 결과 협박 직전인 지난해 12월 9일부터 12일 사이에 한수원 직원 3571명에게 5986통의 악성코드 이메일이 발송돼 PC 디스크 등을 파괴하려 시도했으나 PC 8대만 감염되고 이 중 5대의 하드디스크가 초기화되는 등 원전 운용이나 안전에는 이상이 없는 것으로 조사됐다.
범행은 이메일에 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 자료들을 수집하는 등 범행을 사전에 준비한 것으로 밝혀졌다.
앞서 이메일 공격이 실패로 끝나자 해킹 등으로 취득한 한수원 자료를 공개하며 협박에 이른 것으로 합수단은 보고 있다.
범인 특정과 관련해 합수단은 중국 선양 IP를 통해 국내 모 업체의 가상 사설망(VPN) IP로 접속했고, 이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 구성이나 동작방식이 유사한 것으로 확인했다.
또 이번 악성코드에 이용된 한글 프로그램 버그(취약점)가 ‘김수키‘ 계열 악성코드에 이용된 버그와 동일하며, ‘김수키’ 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치했다.
합수단은 이와 함께 VPN 업체가 관리하는 다른 접속 IP 중에서 지난해 12월 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적을 발견했다.
접속 IP와 악성코드 분석결과, 범행목적 등을 종합적으로 조사한 결과 합수단은 이번 협박 사건이 사회적 혼란과 갈등을 야기할 목적으로 북한 해커조직이 벌인 것으로 판단했다.
합수단 관계자는 “긴밀한 국제공조와 유관기관 간 협업을 통해 해킹루트를 발본색원하는 한편, 해킹집단과 그 배후세력의 실체를 파악하는데 주력하고 있다”고 말했다.
thlee@heraldcorp.com
