[디지털데일리 이민형기자] 한국수력원자력 내부정보를 탈취한 사이버공격자가 ‘12월 9일을 역사에 남도록 할 것이다’라고 남겨 이번 사고가 악성코드로 인한 것이라는 의혹이 짙어지고 있다.

후엠아이(Who Am I?)라는 이름으로 활동하고 있는 해커는 지난 23일 오후 3시경 트위터, 드롭박스, 페이스트빈 등을 통해 한수원 내부자료를 공개했다.

이번에 공개된 4개의 파일에는 한수원의 원전 안전해석코드(SPACE) 프로그램을 구동하는 캡처를 비롯해 고리 1, 2호기, 월성 3, 4호기 등의 도면으로 보이는 이미지가 첨부됐다.

해커는 자료를 공개하며 “12월 9일을 역사에 남도록 할 것”이라는 문구를 트위터에 남겼다. 12월 9일은 마스터부트레코드(MBR)과 게이트웨이 트래픽 유발 악성코드가 삽입된 아래아한글 파일(hwp)이 최초 유포된 날이다. 악성파일 유포는 이메일을 통한 스피어피싱으로 이뤄졌다.

한수원 내부정보를 공개한 해커와 악성파일을 유포한 해커가 동일인물이거나 집단일 경우 이번 한수원 사고는 악성코드에 의한 것이 보다 분명해진다.

보안업계에서는 한수원 내부정보가 최초 공개되던 지난 15일부터 이번 한수원 해킹이 악성코드에 의한 것이라고 추정해왔다. 최근 발견된 악성코드에 자료탈취, 디스크파괴 등의 코드가 삽입돼 있었기 때문이다.

이로 인해 지난 11일 고장 신고가 접수된 한수원의 PC 4대가 원인이 됐을 가능성이 높아지고 있다.

이 PC는 한수원 임직원을 상대로 악성파일을 유포한 9일 이후 문제가 발생했고, 자료가 유출된 고리와 월성 원전에서 업무용과 외부 인터넷용으로 쓰여 이번 사건의 연결고리가 될 수도 있다는 관측이다.

한수원에 따르면 이들 4대 중 2대는 하드디스크가 완전히 고장났고, 나머지 2대는 업무용으로 쓰였다. 9일 발견된 악성코드가 MBR을 파괴한다는 조사결과가 나온만큼, 한수원 해킹사고는 해커가 유포한 악성코드가 원인이 됐을 가능성이 큰 셈이다.

보안업계 관계자는 “지난 9일 한수원에 뿌려진 아래아한글 취약점 파일은 일종의 사이버 시한폭탄”이라며 “하드디스크 파괴 이전 정보유출이 있었고, 모든 정보를 탈취한 후 하드디스크 파괴가 되도록 했을 것”이라고 전했다.

한수원 대변인실은 “현재 조사가 진행되고 있어 정확한 원인을 언급하기가 쉽지 않다”며 “악성코드에 의한 사고일 수 있다는 점도 배제하지 않고 있다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr