preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

"북한이 한수원 해킹 … 북 해커가 쓰는 킴수키 쓰여"

지난해 말 한국수력원자력(한수원)의 원전 도면 유출 사태는 북한 해커집단이 장기간 준비해 실행한 사이버 공격이었다고 수사 당국이 결론 내렸다.

 개인정보범죄 정부합동수사단(단장 이정수)은 17일 “지난해 12월 9~12일 한수원에 뿌려진 악성코드는 북한 해커조직이 사용하는 ‘킴수키(kimsuky)’ 악성코드와 같다”고 밝혔다. 킴수키는 2010년 이후 북한이 한국 국방부, 통일부 등을 해킹할 때 사용한 악성코드다. 합수단은 또 “이 시기 북한 체신성 산하 기관이 국내 가상사설망(VPN)으로 30회가량 접속한 흔적도 발견했다”고 덧붙였다.

 합수단에 따르면 자칭 ‘원전반대그룹’은 지난해 12월 말부터 최근까지 6차례 국내 포털과 트위터 등에 “성탄절 전까지 원전 가동을 중단하지 않으면 원전 설계도면을 공개하겠다”는 등의 글을 올렸다. 한수원 임직원 주소록·전화번호와 원전 안전해석코드(SPACE), 월성·고리원전 설계도면 94건도 공개했다. 이들이 공개한 자료는 한수원 내부가 아닌 협력사 직원 등의 e메일과 PC에서 빼낸 것이라고 한다. 또 해킹에 사용된 악성코드에 한국에서 주로 쓰이는 ‘아래아 한글’ 프로그램을 공격 대상으로 한 버그가 사용됐다고 한다. 합수단은 원전 가동 중단 협박을 해 온 원전반대그룹과 한수원 악성코드 유포자가 동일한 북한 해커조직이라고 판단했다. 근거는 지난해 12월 9~12일 한수원에 뿌려진 악성코드의 IP 주소, ‘킴수키’ 계열 악성코드의 IP 주소, 원전반대그룹 IP 주소의 12자리 중 9자리가 ‘175.167.***.***’으로 일치했다. 한수원이 악성코드 공격을 받은 지난해 12월 하순께 북한발 IP 주소 25개, 중국 베이징 소재 북한 체신성 산하 통신회사 KPTC의 IP 주소 5개가 국내에 접속한 기록도 발견됐다. 모두 북한 체신성 산하 해커조직들이 위장해 활동하는 중국 선양 지역→국내 H사의 사설망을 거쳐 접속했다.

 합수단 관계자는 “이번 공격은 최소 10명 이상이 1년 이상 준비해 온 것”이라고도 했다. 합수단은 ‘유엔 사무총장과 박근혜 대통령 통화요록’이란 제목의 대화 녹취록을 원전반대그룹이 지난 12일 공개한 것과 관련, 미국 뉴욕 유엔본부 해킹 여부를 미 연방수사국(FBI)과 공조 수사하고 있다.

이유정 기자 uuu@joongang.co.kr
AD
온라인 구독신청 지면 구독신청

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(https://news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(https://news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재는 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
‘북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재를 한다.