[디지털데일리 이민형기자] 한국수력원자력 내부정보를 탈취하고 공개한 사이버공격자가 한수원 데이터 파괴를 통한 사회적 혼란을 꾀하고 있다는 주장이 나왔다.

한수원 임직원을 대상으로 한 스피어피싱 악성코드에 명령제어(C&C)와 통신없이도 마스터부트레코드(MBR)를 파괴하는 기능이 탑재돼 있었기 때문이다.

지난 9일 한수원 일부 임직원들이 받은 이메일에는 ‘제어 프로그램’이라는 이름의 아래아한글(hwp) 파일이 첨부돼 있었던 것으로 나타났다. 이 파일에는 트로이목마(백도어) 기능 외에 주요 확장자 파일과 MBR을 파괴하는 기능도 갖추고 있었다.

수신자가 이메일 첨부파일을 열어보면 악성코드가 동작해 하드디스크에 있는 자료가 외부로 유출되고, MBR은 파괴돼 PC사용이 불가능해진다.

22일 보안업계 관계자는 “이번에 발견된 악성코드에는 기존과는 다른 특징이 있다. 통상적으로 최초 유포되는 악성코드에는 드로퍼(dropper, 추가로 악성파일을 내려받는 기능)가 적용돼 있는데, 여기에서는 드로퍼가 없었다”며 “과거 MBR을 파괴하는 악성코드의 경우 최초 악성코드가 C&C서버를 통해 추가로 악성코드를 내려받아 동작하는 형태였으나 이번에는 처음부터 MBR 파괴 코드가 삽입돼 있었다”고 설명했다.

지난해 3.20 전산망해킹에 사용된 MBR 파괴 코드는 최초 악성코드에 삽입돼 있지 않았다. 최초 악성코드가 사용자PC에 자리를 잡은 뒤 추가로 내려받고, 이는 공격자의 C&C서버를 통해 동작하는 형태였다.

하지만 이번에 발견된 악성코드는 C&C와 통신이 없어도 MBR 파괴를 감행할 수 있는 코드가 삽입돼 있었다. 인터넷이 연결되지 않은 PC에서 스스로 데이터 파괴 등을 실행할 수 있도록 설계된 것이다.

즉, 공격자는 인터넷망에 연결된 PC에서는 데이터 유출과 더불어 데이터 파괴를 실행하고, 내부망 PC에서는 데이터 파괴만을 실행할 수 있도록 한 것이다.

이에 대해 보안업계 관계자는 “공격자는 한수원 내부자료 공개와 더불어 내부망PC를 파괴해 사회적 혼란을 노린 것으로 추정된다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr