preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

작년 금융사 해킹한 'John' 한수원 악성코드에도 등장

‘악성코드’ 한글 파일. 사용자 이름이 작년 사이버 테러 때와 같은 ‘John’(빨간 원)이다. [사진 하우리]
지난 9일 한국수력원자력(한수원) 직원들에게 대량 발송된 e메일에 숨겨진 악성코드는 감염 컴퓨터의 모든 데이터를 파괴하는 ‘폭탄형’이었던 것으로 나타났다. 원전 중앙제어시스템(SCADA)의 서버 파괴·운전 정지를 노린 공격으로 추정되고 있다.

 서울중앙지검 개인정보범죄 정부합동수사단(단장 이정수)은 26일 “한수원에 유포된 악성코드 300여 종을 1차 분석한 결과 실행하면 감염된 컴퓨터의 데이터를 수류탄처럼 파괴하는 기능이었다”고 밝혔다. 합수단은 “자료 유출 기능은 없다는 점에서 협박범들이 공개한 원전 설계도면 등은 9일 이전에 다른 경로로 유출됐을 가능성이 크다”고 덧붙였다. 해커들이 악성코드를 숨긴 한글파일은 ‘시방서.hwp’ ‘송전 선로.hwp’ 등 가짜 자료였다. 악성파일 생성시기는 지난해 4월부터 올해 10월까지로 오랜 기간 사이버 공격을 준비한 것으로 보인다.

 합수단은 한수원에 대한 사이버 공격이 북한 소행일 가능성에 주목하고 증거를 찾는 데 수사력을 모으고 있다. 특히 악성코드가 숨겨진 한글파일을 마지막으로 수정한 작업자(PC 사용자) 이름이 지난해 금융사 등에 대한 ‘3·20 사이버테러’ 때 동원된 북한 소재 PC 6대 중 한 대의 사용자 이름 ‘John’과 같다는 점을 확인했다. 해커들이 ‘원전반대그룹’ 명의로 지난 15일부터 유출자료를 공개하며 협박글을 올렸던 트위터(john_kdfifj1029)·페이스북 계정(Jenia John)의 ID도 ‘John’으로 시작된다.

 합수단은 또 원전반대그룹과 e메일 폭탄 공격을 벌인 해커들을 동일범으로 보고 있다. 공개자료마다 ‘Who Am I’라는 회색 글자 서명을 남겼는데, 지난 9일 악성코드 역시 감염된 컴퓨터 화면에 ‘Who Am I’가 뜨도록 설정됐기 때문이다. 합수단은 원전반대그룹이 e메일 공격 때 동원된 한수원 퇴직자들의 e메일 계정에 접속한 사실도 확인했다. 중국 선양 소재의 동일한 인터넷주소(IP)인 데다 접속시간대도 같았다고 한다.

 합수단 관계자는 “9일 e메일 공격에 동원된 국내 포털사이트 계정은 모두 211개로 이 중 55개가 한수원 퇴직자들 것이었다”며 “몇 달 전부터 해커들이 해당 IP로 로그인한 기록이 확인됐다”고 설명했다. 명의 도용 피해자 중에는 세종시에서 농업에 종사하는 농민도 있었다.

 악성코드 메일이 9일 대규모 공격에 이어 10·12일에도 추가로 발송된 것 역시 동일범일 가능성을 뒷받침하고 있다. 원전반대그룹은 게시글에서 “12월 9일을 역사에 남길 것이다” “12월 10일 한수원의 모든 것을 장악했다” “12·12 사태”라고 적었다.

 검찰은 원전반대그룹이 원전자료와 한수원 전·현직 직원 관련 정보를 입수한 경로를 파악하는 데 수사력을 모으고 있다. 9일 이전에 추가적인 악성코드 감염이 있었는지, 내부자의 공모에 의한 것인지를 집중적으로 살펴보고 있다. 한수원 내부 업무용 컴퓨터 3대와 외부 인터넷 사용에 쓰인 컴퓨터 한 대가 e메일 공격으로 파괴된 상태다. 이에 대해 한수원 측은 “원자로 제어시스템은 한수원 내부망과도 분리돼 있어 내부 컴퓨터가 악성코드에 감염되더라도 원전 운전에 영향을 미칠 수는 없다”고 말했다.

 ◆비상대응체제 연말까지로 연장=원전반대그룹이 원전 가동 중단을 요구한 시한인 크리스마스(25일)를 넘겼지만 원전 인근 주민들은 여전히 불안감을 감추지 못하고 있다. 월성원전 주변에서는 만일의 사태에 대비해 관할 군부대인 해병대가 매복에 들어갔다. 이날 산업통상자원부는 한수원 서울 본사와 4개 지역본부(고리·월성·울진·영광)의 비상대응체제를 31일 밤 12시까지로 연장한다고 밝혔다.

경주=송의호 기자, 이유정 기자

 
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life