침해사고/위협동향

한수원 정보유출, 예상 가능한 시나리오

이민형


[디지털데일리 이민형기자] 지난 17일부터 21일까지 닷새간 한국수력원자력 내부정보가 유출된 사건과 관련 정부합동수사단과 보안업계는 유출경로를 찾는데 주력하고 있다.

정부는 현재까지 언제, 어디서, 어떤 경로로 유출됐는지 파악하지 못하고 있다. 최근에 유출된 것인지, 어떤 PC를 통해 유출된 것인지, 얼마나 많은 자료가 빠져나간 것인지를 아직도 조사하고 있다.

22일 이관섭 산업통상자원부 1차관은 “현재까지 유출경로나 유출량이 얼마나되는지 확인하지 못했다. 외부자에 의한 해킹인지도 파악이 안되는 상황”이라고 말했다.

현재 합수단은 공격자의 흔적을 찾는데 주력하고 있으나 관련된 로그가 턱없이 부족해 수사에 어려움을 겪고 있는 것으로 알려졌다.

보안업계는 이번 사건을 ‘악성코드 감염으로 인한 데이터 유출·파괴’라고 분석하고, 악성코드가 한수원 내부PC까지 들어간 경로와 방법 등을 고민하고 있다.

◆보안업계 “인터넷망PC 통한 유출 가장 유력”=현재 가장 유력한 시나리오는 인터넷망PC의 악성코드 감염으로 인한 자료유출이다.

한수원의 망은 크게 원전제어망, 인터넷망, 업무망으로 분리돼 있다. 원전제어망은 독립적으로 구성돼 있으며 단방향이기 때문에 물리적으로 접근할 수 있다.

원전제어망은 한수원의 인가된 직원 10여명만 접근할 수 있고, USB포트도 막혀있어 외부에서 논리적으로 접근하기는 불가능하다. 한수원이 ‘사이버공격으로 원전 사고가 발생할 리는 없다’고 자신하는 부분이 이 이유 때문이다.

업무망은 물리적으로 인터넷망과 연결이 돼 있지 않다. 이 때문에 외부기관과 협력해야 하는 임직원은 인터넷망PC와 업무망PC 두 대를 사용한다. 인가된 직원만 USB메모리 드라이브와 같은 외부저장매체를 사용할 수 있고, 이 역시 상급자 승인을 받아야 하기 때문에 여기에도 접근이 쉽지만은 않다. 또 업무망과 인터넷망간에는 이메일 망연계가 돼 있으나, 책임자의 인가를 받아야 자료를 넘겨받거나 넘겨줄 수 있다.

문제는 인터넷망PC다. 인터넷에 언제든지 접근할 수 있기 때문에 악성코드의 위험에 그대로 노출돼 있다. 스피어피싱은 물론 드라이브바이다운로드(DBD)와 같은 공격에도 취약하다. 실제로 한수원은 지난 9일에 한수원 임직원들을 대상으로 유포된 아래아한글 파일(hwp)로 인한 피해가 있었던 것으로 알려졌다.

보안업계 관계자는 “인터넷망PC가 악성코드에 감염돼 해당 PC에 저장된 자료를 외부로 유출시키고, 디스크는 파괴한 것으로 추정된다”며 “이 경우 내부망PC에 저장된 자료가 유출됐을 가능성은 낮다. 하지만 한수원 내부정보가 외부로 나간 것은 변하지 않는 사실이며, 한수원은 인터넷망PC에 내부자료를 저장했다는 책임은 피할 수 없을 것”이라고 설명했다.

◆“업무망PC에서 유출됐을 가능성 배제 못해”=망분리를 구축했으나 보안사고가 발생한 사례가 많았기 때문에 업무망PC에서 내부정보가 직접 유출된 경우도 배제할 수 없다.

여기에는 스마트폰 테더링 등을 통한 업무망PC의 인터넷 접속, 인터넷망을 통한 패치관리시스템(PMS)의 위변조를 통한 업무망PC 침투 등을 예상할 수 있다.

먼저 한수원 직원이 노트북 등 업무용PC를 스마트폰 테더링을 사용해 인터넷을 사용할 경우 내부자료 유출이 발생할 수 있다.

스마트폰 테더링은 인터넷이 제한된 PC에서 인터넷을 쓸 수 있게 하는 가장 쉬운 방법이다. 내부망PC에서 테더링을 사용하면 인터넷망PC보다 더 보안에 취약한 환경이 구성된다.

김태봉 KTB솔루션 대표는 “내부 직원이 테더링을 통해 외부 인터넷에 접근할 경우 망분리가 돼 있는 환경이라도 외부로부터 공격을 받을 수 있다”고 주장했다.

이와 관련 한수원 대변인실은 “임직원들은 처음부터 두 대의 PC를 사용하기 때문에 테더링을 쓸 가능성은 매우 낮다고 본다고 해명했다.

과거 SK커뮤니케이션즈 해킹사고처럼 패치관리시스템(PMS) 서버를 통한 침투일 가능성도 있다. 인터넷망PC를 탈취한 뒤, PMS 서버까지 들어가는 방식이다. 이 경우 해커가 주장하는대로 대량의 유출이 가능할 수 있다. 업무용PC는 보안패치를 PMS에만 의존하기 때문에 각종 악성코드 위험에 노출될 수밖에 없다.

김용대 카이스트 교수는 “망분리 방식이나 운영환경 등을 면밀히 파악해야 알겠지만 망분리를 하더라도 내부자료가 유출될 경로는 다양하다”며 망분리가 완벽한 보안을 담보하진 않는다고 지적했다.

이외에도 사내에서 쓰는 FTP서버나 전자문서관리시스템(EDMS)의 권한을 탈취한 후 자료를 빼돌렸을 가능성, 망분리 시스템이 제대로 구축되지 않거나 취약점이 있을 것이라는 추정도 나왔다.

한편 이번에 유출된 자료의 기밀성과 관련 주한규 서울대 원자력시스템공학 교수는 “한수원의 주장대로 현재까지 공개된 자료는 원전제어, 운영에 영향을 끼칠 수 있는 수준은 아니다. 안전의 문제보다는 지적재산권의 침해라고 보는게 옳은 시각일 수 있다”라며 “하지만 국가기간시설을 관리하는 기관의 내부정보가 유출됐다는 것은 국가 안보의 입장에서 매우 심각한 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널