[디지털데일리 이민형기자] 한국수력원자력의 원전 설계도 등을 공개하며 원전 가동을 중단하라고 협박한 공격자에 대해 수사당국이 북한의 해커조직으로 잠정 결론 내렸다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 오후 '한수원 사이버테러 사건'의 중간수사 결과를 발표하고 “이 범행은 돈보다 사회적 혼란 야기가 주요 목적인 북한 해커조직의 소행으로 판단된다”고 밝혔다.

합수단에 따르면 범행에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 킴수키(kimsuky) 악성코드와 구성, 동작 방식이 유사하다.

또 악성코드에 이용된 프로그램 취약점이 킴수키 악성코드에 이용된 취약점과 동일하며 협박글 게시에 사용된 중국 선양 IP 대역과 12자리 중 9자리까지 일치하는 것으로 확인됐다.

합수단은 이들이 자료를 빼내고 이메일 공격, 협박글 게시 등 루트로 도용한 국내 가상사설망(VPN) 업체가 관리하는 다른 접속 IP 중 지난해 12월 북한 IP 주소 25개와 북한 체신성 산하 통신회사 KTPC에 할당된 IP 주소 5개가 접속한 점도 북한 소행의 근거라고 설명했다.

합수단 조사 결과 해커조직은 지난해 9월부터 12월까지 한수원 직원 3571명에게 5986통의 파괴형 악성코드 이메일을 발송해 PC 디스크 등을 파괴하려고 시도했으나 PC 8대만 감염되고 그 중 5대의 하드디스크가 초기화되는 정도에 그치는 등 사실상 실패한 것으로 드러났다.

합수단은 이들이 피싱으로 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 자료를 수집하는 등 범행을 사전에 준비했지만 이메일 공격이 실패함에 따라 해킹 등으로 취득한 한수원 자료 등을 공개하며 협박한 것으로 보고 있다.

이들은 지난해 12월 다섯차례에 걸쳐 트위터 등에 “크리스마스 때까지 원전 가동을 중지하고 100억 달러를 주지 않으면 보유한 자료를 공개하겠다”는 취지의 게시물을 올렸으며, 지난 12일에도 트위터에 돈이 필요하다는 글과 함께 한수원의 원전 도면 등을 올렸다.

하지만 한수원의 자체점검한 결과 해커조직이 공개한 자료들은 교육용 등 일반 문서가 대부분이고 원전관리에 위험을 초래하거나 원전수출 등에 영향을 미칠 만한 정보는 없는 것으로 확인됐다.

또 한수원 내부망에서 유출된 것이 아니라 협력업체 등 한수원 관계자 이메일에 보관돼 있던 자료들이 유출된 것으로 파악됐다.

<이민형 기자>kiku@ddaily.co.kr