원전반대그룹, who am I…해커의 정체는?
[MBN] 2014-12-22 19:31 수정 2014-12-22 20:32
[앵커멘트] 그렇다면, 국가기밀시설인 원전 자료를 해킹한 범인들은 도대체 누구일까요. 또 다른 배후가 있는 걸까요. 이어서 정규해 기자가 보도합니다.
[기자] 지금까지 알려진 해커 관련 정보는 자칭 '원전반대그룹'이라는 점과 Who am I란 이름을 사용하고 있다는 것. 원전 정보를 공개한 트위터에서는 존(John)이란 필명을 사용했습니다. 해커는 원전 가동 중지와 함께 궁극적으로는 원전의 해체를 주장하고 있습니다. 반핵 단체인 듯 보이지만, 돈을 요구한 것을 보면 전문 해킹 그룹 소행일 가능성도 있습니다.
해커는 일단 원전을 중단하고 나면 기밀 문서를 정부측에 넘기겠다면서도 '돈은 어느 정도 부담해야 할 것'이라고 금전을 요구했습니다. 트위터 제목에 언급됐던 '청와대 아직도 아닌 보살'이라는 북한식 표현은 북한 소행 가능성에 무게를 실어줍니다. 실제로 이번 공격이 지난해 신한은행과 KBS, 그리고 미국의 소니 픽처스를 공격했던 북한의 수법과 상당한 유사성이 있다는 지적입니다.
▶ 인터뷰 : 정완 / 사이버범죄연구회장
- "종래 일련의 사건들의 배후가 북한일 가능성이 높다라는 것은 예측돼왔던 상황이고, 원전을 해킹한 것이 북한일 가능성이 높다고 추측하는 것은 대단히 개연성이 있는 추측입니다." 원전 반대를 위한 반핵 단체인지, 돈을 노린 전문 해커인지, 아니면 우리 사회 혼란을 노린 북한 소행인지 혼란이 커지고 있습니다. MBN뉴스 정규해입니다.
원전자료 유출 'WHO AM I?'... 북한이냐, 자기과시형 해커냐?
연합뉴스 | 입력 2014.12.24 06:22 | 수정 2014.12.24 06:38
"국민안전 위협 모순적 언행 환경단체는 아닌듯"…해킹 여부도 의문
(서울=연합뉴스) 이웅 기자 = 대통령까지 나서 원전 자료 유출을 국가적 안보문제로 규정하고 배후를 밝힐 것을 촉구하면서 자료 유출 경로와 범인을 추적하는 이번 사건 수사에 더욱 힘이 실릴 것으로 보인다. 하지만 국가보안시설의 자료를 유출해 공개 위협하는 범인의 정체에 대해서는 아직 북한 배후설, 내부자 유출설, 자기과시형 해커 등의 각종 설만 무성할 뿐 실체를 유추할 만한 증거는 찾지 못한 상태다.
↑ 해커로 추정되는 인물에 의해 공개된 월성1호기 감속재계통 ISO 도면
유출 자료들을 그림파일로 만들어 블로그와 트위터에 올리면서 'WHO AM I?'라는 문구를 집어넣어 '후엠아이(WHO AM I)'로도 불리는 자료 유출자는, 스스로를 '원전반대그룹'으로 지칭해 한때 원전에 반대하는 환경단체로 보는 시각이 많았다. 하지만 사건이 진행되는 과정에서 대놓고 국민의 안전을 위협하거나 금전적 이익을 목적으로 삼는 듯한 상식 밖의 언행을 일삼으면서 이들을 환경단체로 보는 시각은 거의 사라졌다.
이헌석 에너지정의행동 대표는 24일 "더 나은 국민의 안전을 목표로 삼아야 하는 환경단체가 목적을 이루기 위해 도리어 국민의 안전을 위협하는 모순적인 언행을 하는 것은 있을 수 없는 일"이라며 "이들을 환경단체로 보기는 어렵다"고 말했다. 이번 사건의 피해자인 한국수력원자력이나 개인정보범죄 정부합동수사단은 아직 자료 유출이 해킹에 의한 것인지에 대해서도 물음표를 떼지 못하고 있다.
다만 유출 자료를 공개하기 전에 있었던 한수원 PC에 대한 사이버 공격에 쓰인 악성코드의 수준이나, 국내외 곳곳에 IP를 분산함으로써 추적을 피하는 수법 등을 고려할 때 자료 유출자가 상당한 수준의 해킹 기술을 보유한 것은 사실인 것으로 드러나고 있다. 정보보안업체 하우리 관계자는 "9일 사이버 공격 때 사용된 악성코드는 북한의 소행으로 알려진 지난해 3·20 및 6·25 사이버 테러의 수준을 능가한다"고 말했다.
이번 사건의 배후로 북한을 의심하는 시각이 많다. 그 주된 근거로는 이들이 21일 네번째 유출 자료 공개 때 트위터에 올린 글에 등장하는 '청와대, 아직도 아닌 보살'이라는 표현을 북한에서 많이 쓴다는 점이 거론된다. 하지만 이는 북한의 소행인 것처럼 보이려고 얼마든지 꾸밀 수 있고, 확인된 악성코드가 여지껏 북한이 사용했던 것과 일치하지 않아 단정하기 어렵다는 반론도 있다. 자체 조사를 벌이고 있는 한수원은 아직 뚜렷한 해킹의 흔적이 발견되지 않았다는 점을 들어 내부자에 의한 자료 유출 가능성도 있는 것으로 보고 있다.
정부합동수사단도 이 같은 가능성을 열어두고 조사를 진행 중인 것으로 알려졌다. 공개된 원전 도면이나 원전 프로그램을 캡처한 그림파일 가운데 일부는 해외 원전 관련 웹사이트 등에서도 어렵지 않게 구할 수 있는 것들로 파악되고 있다. 특히 원전에서 빼냈다고 공개한 자료 중 일부가 앞서 9일 한수원 PC에 대한 사이버 공격 때 사용된 이메일의 첨부파일로도 쓰인 것으로 보안업계에서는 보고 있다.
이는 자료 유출자가 원전 PC에 악성코드를 심기 위해 이메일을 받은 원전 직원들이 첨부파일을 열어보도록 관심을 끌고자, 사전에 원전 관련 자료를 확보해 미끼로 사용했을 가능성이 있음을 의미한다. 해커가 단순히 자기과시를 위해 해킹 사건을 벌이는 경우가 많은 점에 비춰볼 때 이번 사건도 유사한 사례에 해당할 수 있다는 분석도 나온다.
실제로 이번 사건의 경우 자료 유출자가 원전 자료의 공개 사실을 스스로 언론에 알려 사회적 이슈로 만들기 위해 애를 쓴 정황이 발견된다. 트위터에 올린 글에서 발견되는 다분히 선정적이고 과장된 듯한 표현들이 강한 자기과시 욕구를 반영한 것으로 보는 시각도 있다. 보안업계 한 관계자는 "해킹으로 사회적 혼란을 조장하고 사람들이 이를 두려워하는 것을 즐기는 해커들의 범죄가 적지 않은 것이 사실"이라고 말했다. 이어 "현재로서는 어느 것도 확신할 수는 없기 때문에 추가 증거가 나올 때까지는 기다려야 봐야 할 것"이라고 덧붙였다. [abullapia@yna.co.kr]
원전자료 유출 'WHO AM I?'…정체 '오리무중'
[재경일보] 2014.12.24 10:10
북한 배후설, 내부자 유출설, 자기과시형 해커 등의 각종 설만 무성할 뿐 국가보안시설의 자료를 유출해 공개 위협하는 범인의 실체를 유추할 만한 증거는 찾지 못하고 있다. 다만 유출 자료를 공개하기 전 있었던 한수원 PC의 사이버 공격에 쓰인 악성코드 수준이나, 국내외 곳곳에 IP를 분산함으로써 추적을 피하는 수법 등을 고려할 때 자료 유출자가 상당한 수준의 해킹 기술을 보유하고 있다는 것은 사실로 드러나고 있다.
유출 자료들을 블로그와 트위터에 올리면서 'WHO AM I?' 라는 문구를 집어넣어 '후엠아이(WHO AM I)'로도 불리는 자료 유출자는, 스스로를 '원전반대그룹'으로 지칭해 한때 원전에 반대하는 환경단체로 보는 시각이 많았다. 하지만 대놓고 국민의 안전을 위협하거나 금전적 이익을 목적으로 삼는 듯한 상식 밖의 언행을 일삼으면서 이들을 환경단체로 보는 시각은 거의 사라졌다.
24일 이헌석 에너지정의행동 대표는 "더 나은 국민의 안전을 목표로 삼아야 하는 환경단체가 목적을 이루기 위해 도리어 국민의 안전을 위협하는 모순적인 언행을 하는 것은 있을 수 없는 일" 이라며 "이들을 환경단체로 보기는 어렵다"고 말했다. 정보보안업체 하우리 관계자는 "9일 사이버 공격 때 사용된 악성코드는 북한의 소행으로 알려진 지난해 3·20 및 6·25 사이버 테러의 수준을 능가한다"고 말했다.
이번 사건의 배후로 북한을 의심하는 시각도 있다. 그 주된 근거로는 이들이 21일 네번째 유출 자료 공개 때 트위터에 올린 글에 등장하는 '청와대, 아직도 아닌 보살'이라는 표현을 북한에서 많이 쓴다는 점이 거론된다. 하지만 이는 북한의 소행인 것처럼 보이려고 얼마든지 꾸밀 수 있고, 확인된 악성코드가 여지껏 북한이 사용했던 것과 일치하지 않아 단정하기 어렵다는 반론도 있다.
자체 조사를 벌이고 있는 한수원은 아직 뚜렷한 해킹의 흔적이 발견되지 않았다는 점을 들어 내부자에 의한 자료 유출 가능성도 있는 것으로 보고 있다. 정부합동수사단도 이 같은 가능성을 열어두고 조사를 진행 중인 것으로 알려졌다. 공개된 원전 도면이나 원전 프로그램을 캡처한 그림파일 가운데 일부는 해외 원전 관련 웹사이트 등에서도 어렵지 않게 구할 수 있는 것들로 파악되었기 때문이다. 특히 원전에서 빼냈다고 공개한 자료 중 일부가 앞서 9일 한수원 PC에 대한 사이버 공격 때 사용된 이메일의 첨부파일로도 쓰인 것으로 보안업계에서는 보고 있다.
해커가 단순히 자기과시를 위해 해킹 사건을 벌이는 경우가 많은 점에 비춰볼 때 이번 사건도 유사한 사례에 해당할 수 있다는 분석도 나온다. 실제로 이번 사건의 경우 자료 유출자가 원전 자료의 공개 사실을 스스로 언론에 알려 사회적 이슈로 만들기 위해 애를 쓴 정황이 발견된다. 트위터에 올린 글에서 발견되는 다분히 선정적이고 과장된 듯한 표현들이 강한 자기과시 욕구를 반영한 것으로 보는 시각도 있다. 보안업계 한 관계자는 "해킹으로 사회적 혼란을 조장하고 사람들이 이를 두려워하는 것을 즐기는 해커들의 범죄가 적지 않은 것이 사실"이라고 말했다. 이어 "현재로서는 어느 것도 확신할 수는 없기 때문에 추가 증거가 나올 때까지는 기다려야 봐야 할 것"이라고 덧붙였다. [김진규 기자 jkcorpnews1@gmail.com]
정부 조롱하는 원전 해커... 원전자료 공개 어디까지
연합뉴스 | 입력 2014.12.23 16:08 | 수정 2014.12.23 16:13
검찰 수사 불구 자료공개 계속…전문가들 "심각한 양상"
(서울=연합뉴스) 김지훈 기자 = '원전반대그룹'을 자칭하는 트위터 사용자가 또다시 한국수력원자력의 원전 자료를 공개함에 따라 사태가 심각한 양상으로 빠져들고 있다. 정부가 사이버보안의 비상태세에 돌입하고 정부합동수사단이 수사에 돌입했음에도 아랑곳하지 않고 또 다른 자료를 인터넷에 공개하면서 한수원의 대응훈련 등을 조롱했기 때문이다.
↑ 원전 자료 5번째 유출…4개 파일 공개 (서울=연합뉴스) 황광모 기자 = 국내 원자력발전소의 내부 자료가 또다시 인터넷에 공개됐다. 지난 15일, 18일, 19일, 21일에 이어 5번째다. 이번 한국수력원자력 문서 유출을 주도한 것으로 추정되는 SNS(사회관계망 서비스) 사용자는 23일 오후 3시 7분에 트위터를 이용해 또다시 한수원을 조롱하는 글과 함께 원전 도면 등이 담긴 4개의 압축파일과 원전 기술을 설명한 기사의 인터넷주소(URL)를 공개했다. 사진은 5번째 유출을 알리는 트위터의 페이지의 모습.
'원전반대그룹'은 지난 15일 처음으로 인터넷에 자료를 공개한 이후 지난 21일까지 원전 관련 자료가 담긴 압축파일을 연달아 올리며 국내 원전의 가동 중단을 요구했다. 지난 21일 새벽에는 성탄절부터 고리1,3호기, 월성 2호기를 가동중단하라면서 중단하지 않으면 원전자료 10만여 장을 모두 공개하고 '2차 파괴'도 실행에 옮기겠다고 위협했다.
이후 검찰이 IP 추적을 통해 지방에 수사관을 급파하는 등 수사에 진전을 보이자 자료 공개가 잠시 소강 국면을 보이기도 했으나 또다시 5번째 자료를 공개함으로써 국민 불안을 가중시켰다. 이날 공개된 자료는 원전 도면 등이 담긴 4개의 압축파일과 원전 기술을 설명한 기사의 인터넷주소(URL) 등이다. 4개의 압축파일에는 고리 1, 2호기와 월성 3, 4호기의 도면으로 보이는 파일이 담겼다.
전문가들은 이에 대해 그가 가진 자료가 일부 소량에 국한된 것은 아닌 것으로 보인다는 분석과 함께 공개되는 자료가 많아질수록 보안에 더욱 큰 위협이 될 것이라는 전망을 내놓고 있다. 그가 지금까지 공개한 자료가 개별적으로는 원전의 안보에 치명적인 위협을 주는 수준은 아니더라도 공개된 자료가 여러 건이기 때문에 이를 서로 조합하면 원전의 구조를 파악할 수 있는 상황이 되기 때문이다. 이헌석 에너지정의행동 대표는 "계속되는 원전자료 공개로 미뤄 그가 상당량의 자료를 가진 것이 아닌가 추정된다"면서 "그의 주장대로 10만장의 자료가 공개된다면 이들을 조합해볼 수 있기 때문에 더욱 위험한 상황이 된다"고 말했다. [hoonkim@yna.co.kr]
유출 원전자료 5번째 공개.."원전부터 세워라" (종합3보)
연합뉴스 | 입력 2014.12.23 17:06 | 수정 2014.12.23 18:02
한수원 "앞서와 같은 수준의 일반적 기술도면"
(서울=연합뉴스) 이웅 기자 = 국내 원자력발전소의 내부 자료가 또다시 인터넷에 공개됐다. 지난 15일, 18일, 19일, 21일에 이어 5번째다. 이번 한국수력원자력 문서 유출을 주도한 것으로 추정되는 SNS(사회관계망 서비스) 사용자는 23일 오후 3시께 트위터에 한수원을 조롱하는 글을 올리면서 원전 도면 등이 담긴 4개의 압축파일과 원전기술 관련 기사의 인터넷주소(URL)를 공개했다.
↑ 원전 자료 5번째 유출…4개 파일 공개 (서울=연합뉴스) 황광모 기자 = 국내 원자력발전소의 내부 자료가 또다시 인터넷에 공개됐다. 지난 15일, 18일, 19일, 21일에 이어 5번째다. 이날 5번째 유출을 알리는 트위터의 페이지의 모습.
↑ 원전 자료 5번째 유출 (서울=연합뉴스) 김도훈 기자 = 국내 원자력발전소의 내부 자료가 5번째 유출됐다. 이날 오후 서울 강남구 한수원 본사의 모습.
4개의 압축파일에는 고리 1, 2호기와 월성 3, 4호기의 도면과 PC 화면을 캡처한 그림파일 등이 담겼다. 한 파일에는 고리 1,2호기 원전 도면 5장이, 다른 파일에는 월성 3,4호기에 대한 최종 안정성 분석 보고서에 포함된 도면 10장이 포함됐다. 이밖에 그림파일은 개량형경수로(APWR) 시뮬레이터와 원전 안전해석코드(SPACE)라는 원전 프로그램을 구현한 화면을 캡처한 것으로 각각 2장씩이다.
주소를 첨부한 기사는 안전해석코드를 자세히 소개하는 내용을 담고 있다. 이에 대해 한수원 관계자는 "이번에 공개된 도면 역시 앞서 공개됐던 것과 같은 수준의 일반적인 기술 도면"이라고 밝혔다. 자신을 '원전반대그룹 회장'이라고 지칭한 이 트위터 사용자는 "한수원 사이버 대응훈련 아주 완벽하시네. 우리 자꾸 자극해서 어쩔려고"라고 썼다.
이어 "원전반대그룹에 사죄하면 자료 공개도 검토해 볼게"라며 "사죄할 의향이 있으면 국민들 위해서라도 우리가 요구한 원전들부터 세우시지"라고 덧붙였다. 또 "우리는 국민을 사랑하는 원전반대그룹이다. 국민 여러분, 원전에서 빨리 피하세요. 12월9일을 역사에 남도록 할 것이다"라고 적었다. 12월9일은 한수원에 대한 이메일을 이용한 사이버공격이 있었던 날로, 당시 이메일에 포함된 악성코드를 통해 한수원이 자료가 유출됐을 가능성이 있는 것으로 추정된다. [abullapia@yna.co.kr]
'文정부·청와대' 카테고리의 다른 글
| [국가재난] 이번엔 원전… '제발 좀 안심하고 살 수 있게 해달라' (0) | 2014.12.25 |
|---|---|
| [WhoAmI] 예고 시한… 오늘밤 원전에 무슨 일이 벌어지나? (0) | 2014.12.24 |
| [정윤회 문건] '청와대 문건은 박관천이 유출했다… 이상 끝' (0) | 2014.12.16 |
| [여론조사] 박근혜 대통령 국정수행 지지도 집권 후 최저치 (0) | 2014.12.15 |
| [정윤회 문건] 최 경위 유서 일부 공개… '민정비서관실에서 회유' (0) | 2014.12.15 |