“수법 비슷하지만 아직 단정은 어려워”
연합뉴스
또다시 공개된 한수원 내부 문건
국내 원자력발전소의 도면과 매뉴얼 등 한국수력원자력의 내부 문서가 또 인터넷에 공개됐다. 지난 15일부터 4번째 유출이다. 이번 한수원 문서 유출을 주도한 것으로 추정되는 사회관계망 서비스(SNS) 사용자는 21일 새벽 트위터에 또다시 한수원을 조롱하는 글과 함께 고리 2호기와 월성 1호기 관련 내부 문서, 원전에서 사용하는 프로그램인 MCNP5와 BURN4 매뉴얼 등을 공개했다.
연합뉴스
연합뉴스
정보보안업체 하우리 관계자는 22일 “이번 해킹은 하드웨어 파괴라는 점에서는 이전 북한의 소행이라고 알려진 3.20 및 6.25 사이버 테러, 소니픽처스 해킹 등과 비슷하지만 악성코드 자체는 당시 사용됐던 것들과 다르다”며 “하지만 이번에 쓰인 악성코드의 일부 코딩이 이전 테러 때 사용됐던 악성코드 코딩과 유사해 아예 북한이 아니라고 얘기하기는 어렵다”며 신중한 태도를 보였다.
이 관계자는 “소니 테러가 일어났을 때는 이전에 일어났던 사건들과 악성코드가 일치해 북한의 소행이라고 단정지을 수 있었다”며 “지금은 그렇게까지 단정짓기는 어렵고 악성코드가 추가적으로 발견되거나 IP가 밝혀진다면 좀더 자세하게 누구의 소행인지 알 수 있을 것”이라고 설명했다.
이번 공격을 감행한 해커가 트위터를 통해 공격을 알리면서 ‘청와대, 아직도 아닌 보살’이라는 표현을 사용했다는 것도 북한 소행으로 추정할 수 있는 근거중 하나로 지목되고 있지만 반론도 적지않다. ‘아닌 보살’은 북한에서 ‘시치미를 뗀다’는 의미로 주로 쓰이는 용어여서 이같은 추론이 나오고 있는 것이다.
하지만 이 보안업체 전문가는 “오히려 북한의 소행인 것처럼 보이게 하려고 이러한 표현을 썼을 수도 있다”며 “말투는 조선족일 수도 있고, 중국인일 수도 있으니 추가적인 단서가 나올 때까지는 말하기 어렵다”며 단정을 자제했다.
다만 그는 “악성코드는 북한이 새로 개발했을 수도 있으며, 심증으로는 북한의 소행이라고 생각한다”고 밝혔다.
다른 보안업체 이스트소프트 관계자도 “악성코드에서 북한이 저지른 이전 테러들과 유사한 패턴이 발견돼 북한의 소행일 가능성이 있다고 짐작하고 있다”고 말했다.
이번 사건을 수사 중인 개인정보범죄 정부합동수사단이 ‘좀비PC’가 가동된 흔적을 파악했다는 점도 해커의 정체를 파악하는데 주목할 요소중 하나로 꼽히고 있다.
임종인 고려대 정보보호대학원 원장은 “좀비 PC를 사용했다는 것은 자신의 정체를 숨기려는 전문적인 집단일 가능성이 크다는 의미”라며 “범인들이 정체를 들어낼듯 말듯 심리전을 활용해 수사력을 분산하는 것을 봤을 때 북한이든 북한의 지원을 받는 집단이든 상당히 전문적”이라고 분석했다.
한편, 한수원 원전 제어망 사이버 공격 가능성에 대해 보안전문가들은 한수원측과 달리 가능성을 열어놓고 있다.
한수원을 해킹했다고 주장하는 ‘원전반대그룹 후엠아이(WHO AM I)’가 원하는 바를 얻지 못하면 “원전 도면 10만여장을 추가 공개하고 (한수원 서버에 대한) 2차 파괴를 실행하겠다”고 밝힌 것에 대해 한수원은 원전 제어망이 사내 업무망이나 사외 인터넷망과 완전히 분리된 단독폐쇄망으로 구성돼 사이버 공격이 원천적으로 불가능하다는 입장이다.
그러나 보안전문가들은 한수원이 실시간으로 원전 운영정보를 올리는 등 폐쇄망과 인터넷의 접점이 있을 수밖에 없는 점 등을 들어 해당 악성코드가 폐쇄된 내부컴퓨터로 옮겨갔을 가능성을 완전히 배제할 수는 없다는 분석이다.
전에 이란 핵시설이 ‘스턱스넷’ 바이러스로 공격당했다고 알려졌을 때도 직원의 USB로 바이러스가 전파됐던 것처럼 사소한 부주의가 순식간에 바이러스를 퍼뜨릴 수 있다는 것이 보안업계의 설명이다.
전문가들은 해당 악성코드를 담은 이메일이 한수원 뿐 아니라 정유 등 주요 기간시설을 담당하는 공기업을 중심으로 발송된 점을 들어 추가 피해가 발생할 가능성도 있는 것으로 전망했다.
연합뉴스
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
