preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

北 악성코드는 kimsuky…한수원 유출 북한 해커조직 소행

한수원 유출 북한 해커조직 소행


한수원 유출 북한 해커조직 소행…北 악성코드는 kimsuky(김수키)

개인정보범뷔 정부합동수사단은 17일 한국수력원자력을 해킹해 설계도 등 기밀정보를 공개하며 원전 중단을 협박해온 세력들이 북한 해커 조직으로 추정된다고 밝혔다.

합수단은 이날 중간수사결과를 발표해 이번 범행을 북한 해커 조직의 소행으로 잠정 결론내렸다.

해커 조직의 범행은 계획적이고 치밀했다. 이들은 한수원 관계자들의 이메일에 '피싱(phishing) 메일'을 보내 비밀번호를 차례차례 수집한 후 그 계정에서 자료들을 수집했다.

수집한 이메일 계정을 바탕으로 지난해 12월 9일부터 12일까지 나흘간 진행된 이메일 공격을 했지만 사실상 실패로 돌아가자 해킹으로 취득한 한수원 자료를 공개하며 협박을 한 것으로 합수단은 분석했다.

한수원 유출 북한 해커조직 소행
이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 'kimsuky(김수키)' 계열 악성코드와 그 구성과 동작방식이 거의 같은 것으로 드러났다. 또 악성코드에 이용된 '한글 프로그램'의 버그(취약점)가 'kimsuky' 계열 악성코드에 이용된 버그와 동일했고, 'kimsuky' 계열 악성코드들의 IP 일부가 중국 선양 IP 대역들과 12자리 중 9자리까지 일치한 것으로 파악됐다.

앞서 해커들은 지난해 12월 15일 포털사이트(네이버)에 '우리는 원전반대그룹! 끝나지 않은 싸움'이라는 글을 게시하며 한수원 임직원 주소록 파일 등을 1차로 공개했다.

합수단은 국가정보원, 대검 과학수사부·국제협력단, 경찰청 사이버안전국, 방송통신위원회, 한국인터넷진흥원, 안랩(AhnLab) 등과 공조수사를 진행하는 한편, 경유지 IP 서버 소재지인 미국, 중국, 일본, 태국, 네덜란드 등과도 국제수사공조를 통해 범인을 계속 추적할 계획이다.

합수단 관계자는 "이번 범행은 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박을 해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건임이 밝혀졌다"며 "북한 해커조직의 소행으로 판단하고 철저히 수사를 계속하겠다"고 말했다.

온라인 중앙일보
한수원 유출 북한 해커조직 소행 [일러스트 중앙포토]

AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.