‘뒷북’ 사이버 공격 대비훈련 최근 해킹에 의해 고리·월성 원전의 도면 등이 유출된 사건과 관련해 22일 경북 경주시 월성원자력발전소에서 사이버공격 대비 모의훈련이 실시됐다. 자료를 유출한 해커 집단은 현재까지 네 차례 원전 관련 자료를 공개했으며 크리스마스 때까지 원전 가동을 멈추지 않으면 추가 공개하겠다고 협박했다. [경주=프리랜서 공정식]
| |||||||||||||||||||||||||||
|
한국수력원자력(한수원) 자료 유출 사태를 주도한 ‘원전반대그룹’이 고도의 전문성을 갖춘 해커 집단인 것으로 드러나고 있다. 이들은 원전 도면 등을 빼낼 정도의 해킹 기술력을 갖고 있고 추가 폭로 경고 등 심리전은 물론 수사 기관의 추적을 피하기 위해 좀비PC를 활용하기도 했다. 이에 따라 검찰은 북한이 개입됐을 가능성에 무게를 두고 범인을 추적하고 있다.
이 사건을 수사 중인 서울중앙지검 개인정보범죄 정부합동수사단(단장 이정수) 관계자는 22일 “범인이 사용한 국내 ID 두 개의 인터넷 주소(IP)를 추적한 결과 좀비 PC로 나타났다”며 “관련자들은 해킹을 장기간 준비한 전문가 집단으로 보인다”고 밝혔다. 검찰 관계자는 “범인이 일본·미국·한국을 여러 차례 거치는 IP를 쓰고 있어 수사가 장기화될 수 있다”고 했다. 검찰은 미국에 서버를 둔 트위터 사용자를 찾기 위해 미국 연방수사국(FBI)에 사법공조를 요청했다.
임종인 고려대 정보보호대학원장은 “한수원 해킹에 사용된 악성코드는 최근 미국 소니 해킹과 지난해 한국 언론사 해킹 때 사용된 코드와 기능적으로 매우 유사하다”며 “원전 제어망까지 악성코드가 침투했다면 원전 가동 중단도 충분히 가능하다”고 우려했다. 북한 개입 의혹이 제기되고 있지만 원자력 사용에 반대하는 국제 단체일 가능성도 있다. 지난 15일 원전반대그룹이 네이버 블로그에 올린 자기 소개 포스터에는 독일에 기반을 둔 반핵 단체의 이름이 나오기 때문이다. 이에 대해 검찰 관계자는 “해커가 신원을 감추기 위해 거짓 정보를 포함시켰을 수 있다”고 했다.
한편 한수원은 원전반대그룹이 자료를 공개하기 일주일 전 내부에 악성코드가 침투한 것을 알고도 후속 조치를 제대로 하지 않은 것으로 나타났다. 산업통상자원부와 한수원은 22일 정부 합동 브리핑을 열고 “고리·월성 원전의 임직원 PC 4대(내부망 3대, 외부망 1대)가 원전 자료 유출범의 사이버 공격을 받아 악성코드에 감염된 것으로 의심하고 있다”고 밝혔다.
한수원에 따르면 지난 9일 임직원들의 PC에 ‘회의록’ ‘보안책’ 등의 한글 파일이 첨부된 단체 e메일이 도착했는데 여기에 PC를 다운시키는 악성코드가 있었다. 한수원 관계자는 “이 중 3명의 직원이 e메일을 내부망으로 옮기고 나서 PC가 다운됐다”고 말했다. 이 관계자는 “해당 악성코드는 PC가 부팅되지 않게 설계돼 있을 뿐이어서 이로 인해 자료가 유출됐을 가능성은 없다”고 설명했다. 하지만 코드 감염 이후인 15일 원전반대그룹은 “12월 10일(국내외 시차로 추정) ‘Who am I?’ 아직 못 푸셨죠…(중략)…포털 계정 들어오는 메일 차단한다고 원전 폭발 막아낼까요?”라고 썼다.
◆감사원, 2년 전 “사이버 테러 취약”=한수원이 2년 전 감사원으로부터 “사이버 테러에 취약하다”는 지적을 받은 것으로 확인됐다. 감사원의 경고를 받고도 사이버 보안을 강화하지 않아 이번 사태를 불러왔다는 지적이 나온다.
감사원이 2012년 12월 5일 공개한 ‘국가핵심기반시설 위기관리실태’ 감사 결과에 따르면 한수원은 발전소를 실제로 작동시키는 원전 중앙감시제어(SCADA) 시스템을 운용하면서 일반 업무처리를 위한 업무망과 독립적으로 운용하지 않았다. ‘국가 정보보안 기본지침’ 등 관련 법령을 지키지 않은 것이다. 당시 감사에선 이번에 설계도면이 유출된 고리 원전 등 4개 본부의 직원들이 외부 인터넷과 연결해 사용하는 업무용 PC를 SCADA 시스템에 임의로 연결한 사실이 적발됐다. 감사원은 당시 한수원 사장에게 “사이버 테러가 발생하면 원전 주요 설비의 오작동 가능성 등이 있으니 관리를 강화할 필요가 있다”고 통보했다.
세종=이태경 기자 허진·이유정 기자