한수원 해킹, 북한 소행이라는 정황 증거 세 가지
①SNS로 '업적' 홍보 ②해외 파일공유 웹사이트 이용
③'북한식' 어투…소스 코드 기존 북 사용 코드와 달라
한국수력원자력(한수원)의 내부문서가 유출, 공개된 사건을 북한이 벌인 것인지 여부에 대한 관심이 모아지고 있다.
보안전문가들은 이번 한수원 해킹 사건이 과거 북한이 소행으로 밝혀진 디도스(DDos) 사태(2009년), 농협전산망 해킹(2011년), 주요 방송사·금융사 해킹(2013년), 청와대 홈페이지 해킹(2013년)과 정황상 유사한 점이 많아 북한의 소행이 높을 것이라는 분석을 내놓고 있다
여기에 이번 해킹 사건의 진원지임을 자처하고 있는 인물이 한수원 내부 문건을 다운로드 받을 수 있는 링크와 함께 남겨놓은 글이 ‘북한식 표현’을 사용하고 있어 한수원 해킹 사건은 북한의 소행일 가능성이 높은 것으로 관측되고 있다.
22일 보안전문가들에 따르면 이번에 한수원을 해킹한 인물 혹은 집단이 북한이라는 정황상 증거는 세 가지다.
먼저 SNS를 통해 자신의 ‘업적’을 홍보하고, 한수원 내부 자료를 내려 받을 경로로 페이스트빈(pastebin.com)을 이용했다는 점에서 과거 북한의 해킹 사례와 동일하다. 또한 SNS상에 남긴 글에 ‘북한식 표현’이 들어간다는 점이다.
파일 공유 웹사이트인 페이스트빈의 경우, 최근 북한이 소니 픽처스를 해킹한 후 관련 영화 등의 자료를 업로드 해놓은 사이트였다. 이번 한수원 내부 문건도 해당 웹사이트에 게재됐다가 현재는 해당 게시물이 삭제돼있는 상태다.
하지만 보안전문가들은 이번 해킹에 쓰인 악성코드의 소스코드가 북한이 기존에 사용했던 것과 달라 현재까지는 한수원 해킹 사건이 북한의 소행이라는 점을 확신하지 못하고 있다.
최상명 하우리 차세대보안연구센터장은 이날 ‘데일리안’과 통화에서 “북한이 했다는 정황상 증거는 이미 많은 상황이지만 아직까지 북한의 소행이라고 단정 짓기에는 확실한 증거가 발견되지 않았다”면서 “이번에 사용됐던 소스코드의 경우 ‘북한의 스타일’이 묻어있는 것으로 보이지만 이번에는 과거 북한이 사용했던 악성코드와 다르다. (북한이 했다면) 새롭게 만들었거나 개선한 것으로 보인다”고 분석했다.
최 센터장은 “하지만 지난해 북한이 청와대 홈페이지를 해킹했을 당시 트위터를 통해 해킹하는 동영상을 올리는 등 자신의 해킹 소행을 선전했다는 점이 비슷하다”면서 “또한 페이스트빈 사이트를 사용했다는 점도 지난해와 같은 동일인물 혹은 집단의 소행이라는 점을 추측할 수 있다”고 설명했다.
아울러 한수원을 해킹했다고 자처하고 있는 트위터리안 'john_kdfifj1029'가 지난 21일 새벽 자신의 트위터에 남긴 글에 북한식 표현이 묻어나고 있다는 점도 북한의 소행이라는 정황상 증거가 되고 있다.
해당 트위터리안이 남긴 글의 첫 머리는 “청와대 아직도 아닌 보살”이라는 표현이 사용되고 있다. ‘보살’은 ‘시치미 떼다’라는 의미를 가진 북한식 표현으로 남한에서는 이질적인 단어다. 또한 해당 글에는 “근데 바이러스는 다 잡앗는가요?”라는 표현을 사용하고 있어 한국식 어투라고 보기에는 무리가 있다는 것이 탈북자의 전언이다.
한 탈북자는 본보와 통화에서 “보살이라는 표현이 북한식이라는 것은 말할 것도 없다”면서 “중간에 ‘잡았는가요’라는 표현도 북한의 평양 어투로 볼 수 있다”고 지적했다.
한편 한국수력원자력의 내부 문서 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 부장검사)은 22일 한수원의 내부 자료를 빼돌린 유출자가 국내 가상사설망 등을 이용해 IP 주소를 숨긴 흔적을 포착하고 유출자의 신원과 위치를 쫓고 있는 상황이다.
검찰에 따르면 유출자로 추정되는 인물이 가상사설망 등을 통해 지속적으로 옮겨 다닌 것으로 추정된다. 때문에 범인의 신원을 파악하기 위해서는 좀 더 시간이 필요하다는 지적이다.
한수원 측에서는 이번 해킹 사건은 인터넷을 이용한 외부 침투 공격 가능성에 대해서는 낮게 보고 있다. 다만 해킹 사건이 이뤄지기 전부터 내부 인터넷 연결 PC에 정체불명의 메일이 지속적으로 들어와 해당 PC를 차단하는 등의 조치를 한 바 있다.
한수원 관계자는 본보와 통화에서 “인터넷을 통한 감염가능성은 없는 것으로 보고 있으며 내부 직원의 보안관리 소홀 가능성을 조사 중”이라면서 “해킹에 대해 인지한 시점은 18일로 이후 수사기관에 의뢰해 관련 조사가 진행중이다”라고 말했다.
이란 핵시설을 마비시켰던 바 있는 스턱스넷에 의한 ‘셧다운’(작동중단) 가능성과 관련해서는 “원전 운용망이 따로 구축돼 있어 외부로부터 단절돼 있다”면서 “원전운용 용도의 망에는 외부 자료가 들어갈 수 없다. USB를 이용한다고 해도 ‘보안USB’라는 특수한 장치를 이용하기 때문에 외부로부터의 침투는 차단된다”고 말했다.
아울러 이미 유출된 'Nuclear Control Program Manual', 'Handwritten Letter to UAE Mohammed From Korea President Park', 'Nuclear Control Room' 등의 문건에 대해서는 "해당 문건들은 교육용 책자와 도면 수준이라 이와 관련 특별히 원전 측에서 대비할 것은 없다"면서 "유출된 문건 가운데 어떤 것이 있는지에 대해서는 조사 중"이라고 말했다.
©(주) 데일리안 무단전재 및 재배포 금지
한국수력원자력의 내부 문건을 유출시킨 해커로 추정되는 인물의 트위터.
실시간 주요뉴스
![한국 코인法, 미국 눈치 보다 日에도 뒤처질 판[기자수첩-ICT]](https://cdnimage.dailian.co.kr/news/icon/202504/news_1743488198_1480049_c.png){kind=icon}