[원전해킹] 전문가들 '올 것이 왔다' 쓴소리

[단독] '한수원 해커' 10월에도 국내 공격 흔적
KBS | 박경호 | 입력 2014.12.26 21:07 | 수정 2014.12.26 22:10 
 

 

<앵커 멘트> 원전 도면을 유출하고 2차 파괴 위협도 주장했던 해커들이 지난 10월에도 동일한 악성코드로 국내에서 공격을 시도한 사실이 KBS 취재결과 확인됐습니다. 이번 원전 해킹을 앞두고 악성 코드에 대한 성능 실험과 자료 수집일 가능성이 제기됐습니다. 박경호 기자입니다.
<리포트> 지난 10월 국내에 이메일을 통해 유포된 '두만강 포럼'이란 한글문서입니다. 두만강 포럼은 연변대학이 개최하는 국제학술행사로, 지난 10월에도 중국 연변에서 남북한과 중국의 학자들이 모인 바 있습니다.
그런데 당시 유포된 문서를 분석해보니 해커가 만든 악성 코드가 숨어 있었습니다. 왼쪽이 지난 9일 한수원을 노린 악성코드, 오른쪽이 이번에 발견된 악성코드입니다. 사용된 명령어와 배열, 기능이 일치해 동일한 해커로 추정됩니다.

<인터뷰> 최상명(하우리 보안연구센터 센터장) : "악성코드를 이메일로 전달해서 한글취약점을 사용해서 생성하고 실행했는데 그 부분의 로직이 거의 일치하기때문에 동일그룹내지 조직의 소행으로 생각합니다." 새로 발견된 악성코드는 유럽의 서버로부터 악성코드를 다운받게 하고, 또 정보를 유출하는 기능까지 갖고 있습니다. 구체적인 공격 규모와 피해는 파악되지 않았지만, 원전 공격을 앞두고 악성코드의 성능을 시험하고 추가 해킹에 필요한 개인정보 등을 확보하려는 시도였을 것으로 전문가들은 보고 있습니다. 한편, 정부합동수사단은 지난 10일부터 12일 사이 악성코드를 담은 이메일 6개가 추가로 한수원 직원에 발송된 것을 새로 찾아냈습니다. 수사단은 또 이번 공격에 한수원 퇴직자 명의의 이메일 50여개와 300여 종의 악성코드가 사용됐다고 설명했습니다. KBS 뉴스 박경호입니다. [박경호기자 4right@kbs.co.kr]

 

합수단, '한수원 해킹' 퇴직자 메일 계정 55개 사용
뉴시스 | 박준호  | 입력 2014.12.26 16:28

 

【서울=뉴시스】박준호 장민성 기자 = 한국수력원자력의 원전 설계도면 등 내부자료 유출사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 해킹에 도용된 것으로 추정되는 이메일 계정은 총 211개로 이 가운데 한수원 퇴직자 명의로 된 계정은 약 55개로 추산된다고 26일 밝혔다. 합수단은 지난 9일 한수원 직원 수백명의 사내 메일로 발송된 이메일을 분석한 결과, 퇴직자 명의로 확인된 계정 외에 다른 이메일 계정은 제3자 명의를 도용한 것으로 추정했다. 또 9일 외에도 추가로 12월10~12일에도 공격성 악성코드가 담긴 메일이 6회에 걸쳐 발송된 것으로 확인됐다.

 

합수단에 따르면 이메일에 한글파일 형태로 첨부된 악성코드에는 파일삭제만 가능할 뿐 자료유출 기능은 없는 것으로 확인됐다. 이메일은 마치 업무상 필요한 내용이 담긴 것처럼 '견적서', '자료배포', '송전선로', '프로그램 관련 문서' 등의 제목으로 각 메일마다 15개 안팎의 첨부파일이 다음, 지메일, 네이트, 핫메일 등을 통해 발송됐다.

 

합수단은 또 '원전반대그룹'이 협박성 게시물을 올릴 때 사용한 IP(인터넷 주소)로 동일한 시간대에 한수원 퇴직자 ID로 접속한 사실도 확인했다. 이를 토대로 합수단은 악성메일을 보낸 지난 9일부터 유출 자료를 세 번째 공개한 19일까지 중국 선양지역 IP로 300회 이상 접속한 것으로 판단했다. 악성코드에 감염된 컴퓨터는 업무용 3대, 외부용(인터넷 PC) 1대로 이들 컴퓨터를 재부팅하면 'WHO AM I'가 출력되는 상태로 화면에 보이도록 하는 기능이 확인됐다. 다만 한수원 내부망이나 다른 업무용 컴퓨터는 악성코드에 감염되지 않은 것으로 합수단은 잠정 결론 냈다.

 

합수단은 이와 함께 퇴직자 명의로 11월29일 이전에 여러차례 로그인한 기록을 감안해 공격성 악성코드를 한수원 내에 침투시키거나 해킹을 한 것은 11월말 전부터 오랜 기간에 걸쳐 치밀하게 준비해온 것으로 보고 있다. 합수단 관계자는 "결론적으로 정보 유출은 9일 이전에 행해진 것으로 보인다"며 "9일 (발송한)이메일을 통해 자료를 빼내려는 시도보다는 파일을 좀 망가뜨리고 컴퓨터를 고장시키려는 의도로 보인다"고 말했다. 또 "도용된 걸로 추정되는 퇴직 직원들 명의로 로그인 된것도 9일 이전 몇달전부터 로그인된 흔적이 있었다"며 "그걸로 봐서는 급하게 1~2주 정도 차원이 아니라 최소한 몇 달 전부터 준비한 걸로 보인다"고 덧붙였다. [pjh@newsis.com]

 

한수원 해킹에 전문가들 "올 것이 왔다" 쓴소리
머니투데이 | 서진욱 기자  | 입력 2014.12.26 16:22 | 수정 2014.12.26 19:30  

 

'북한' 위험요인에도 국가기반시설 보안 개선 더뎌… 인식제고, 인프라 투자 시급

한국수력원자력의 원전 내부자료가 유출되자 전문가들은 '올 것이 왔다'며 쓴소리를 하고 있다. 보안에 대한 국가적 인식이 개선되고 국가 기반시설에 대한 관련 인프라가 구축되지 않는 한 언제든 재발할 수 있다는 지적이다. 사이버 보안 기반 구조 전문가인 김용대 카이스트 전기전자공학과 교수는 26일 머니투데이와의 통화에서 "한국수력원자력은 기밀문서가 유출됐는데 내부망에 의한 것인지 외부망에 의한 유출인지, 경로조차 파악하지 못했고 어느 망에 있었는지조차 모르는 상황"이라며 "보안에 대한 준비가 전혀 안 돼 있었다"고 말했다.

 

 

↑ 지난 22일 오후 서울 서초구 중앙지방검찰청 인터넷범죄수사센터에서 한국수력원자력의 원자력발전소 내부 문서 유출 사건을 수사 중인 개인정보범죄정부합동수사단 직원들이 한수원 관련 트위터 모니터링을 하고 있다. 합수단은 해킹경로를 추적한 결과 의심되는 IP 주소가 서울 등 수도권이 아닌 지방으로 확인됐다며 해당 지역에 수사관을 급파해 범인을 추적 중이라고 밝혔다. /사진=뉴스1

 

김 교수는 특히 한국수력원자력이 유출 원인조차 제대로 파악하지 못하고 있는 것을 가장 큰 문제로 꼽았다. 내부망과 외부망 사이에 DB를 싱크·동기화하는 과정에서 유출될 수도 있는 등 다양한 원인이 예상되지만 아직 이에 대한 분석 내용도 없다는 지적이다. 김정덕 중앙대 산업보안학과 교수도 "우리나라가 IT강국이라 불리지만 소프트웨어는 열악하다"며 "특히 보안에 대한 부분은 처우도 낮고 인식 수준도 낮아서 후진국에 가깝다"고 평가했다. 김 교수는 특히, "국가 기반시설 중에서도 가스, 석유, 전력 등 에너지분야가 가장 취약하다"면서 "한번 사건이 터지면 피해가 막심해 더 신경써야 한다"고 강조했다.

 

↑ /사진=뉴스1

 

북한이라는 위험요인을 고려할 때 국가 기반시설 쪽은 더 많은 노력이 필요함에도 높아지는 위험수위에 비해 개선 속도가 더디다는 지적이다. 전문가들은 보안에 대한 전 국가적 인식 제고와 시스템 구축이 시급하다고 입을 모았다. 신영길 서울대 정보화본부장(컴퓨터공학과 교수)은 "한마디로 창과 방패의 싸움"이라며 "전 국가적으로 보안 교육을 철저히 하고 국가전산망에 대해 보안시스템도 구축해야 한다"고 강조했다.

 

신 교수는 "유관 기관들이 힘을 합쳐 정부기관에 대한 보안관리를 해야하는데 지금은 각자 알아서 하는 시스템이고 정보만 일방적으로 내려오지, 어떻게 하라는 얘기가 없다. 이런 미흡한 부분을 고쳐가야 한다"고 밝혔다. 박춘식 서울여대 정보보호학과 교수는 "보안기술도 중요하지만 사회 전반적으로 정보보호를 해야 한다는 인식과 관심을 가져야 한다"며 "또 보안을 담당하는 관리자가 평상시 대책을 마련하고 꾸준히 관리해야 한다"고 말했다.

 

보안도 '계획-실행-점검-행동(PDCA, PLAN-DO-CHECK-ACTION)'까지 건강관리처럼 꾸준히 단계적으로 이어져야 하는데 사건이 터질 때만 반짝 관심을 갖고 사후약방문을 하는 수준이라는 것. 보안부서를 IT 부서에서 독립시키는 글로벌 트렌드에 주목해야 한다는 목소리도 나온다. IT부서는 정보시스템을 개발하고 운용하는 부서이고 정보보호는 통제하는 곳이라 충돌이 생길 수밖에 없다는 설명이다.

 

김정덕 교수는 "최근 선진 조직에서는 보안 부서를 IT부서에서 빼내 핵심부서에 넣고 있다"며 "보안 분야에 대해 사람도 많이 뽑고 예산도 투입해야 하지만 무엇보다 조직전체적으로 보안이 이뤄져야 한다"며 CEO부터 인식을 바꿀 것을 주문했다. 일각에서는 보안을 지나치게 강조하다 편의성을 놓쳐 오히려 예기치못한 부작용이 발생했을 가능성도 거론된다. 망 분리 정책에 대한 재검토가 필요하다는 의견이다.

 

김용대 교수는 "물리적인 망을 분리를 하는게 국가정보원의 지침인데 문제는 망 분리를 했을 때 사용자 불편함이 야기돼 (사용자가) 망을 돌아 접근하는 방법을 찾다 결국 안전하지 않은 방법으로 사용한 게 문제가 된 것 같다"며 "사용자 편의를 고려하지 않고 무조건 보안만 요구하는게 궁극적 해결책이 되지 않는다"고 꼬집었다. [글=서진욱 머니투데이 기자, 모두다인재 김현정·정봄 기자]