-정보탈취용ㆍ공격용 차이로 동일범 단정은 일러


[헤럴드경제] 지난해 12월 한국수력원자력(한수원)을 공격한 해커와 연계됐다는 의혹을 받고 있는 북한의 해킹 조직 ‘킴수키(kimsuky)’가 2년 전에도 국내 원전 관련 기관들을 공격한 정황이 발견됐다. 인터넷주소(IP주소) 대부분이 동일한 것으로 확인됐지만, 검찰은 해킹 목적에 차이가 있어 동일범으로 단정할 수 없다는 입장이다.

5일 개인정보범죄 정부합동수사단(단장 이정수)에 따르면 2013년 8월 말 ‘제57차 국제원자력기구(IAEA) 총회 참가자료’라는 제목의 한글(hwp) 파일이 국내 백신업체들에 포착됐다.

표면적으로는 정상적인 문서지만 파일을 열면 숨겨진 악성코드가 작동해 PC 내부 자료를 해커의 e메일로 자동 전송시키는 방식이었다. 당시 업계는 해당 악성코드의 핵심 기술인 ‘셸코드’가 킴수키 고유의 것과 일치한다는 결론을 내렸다.

해당 문서에는 같은 해 9월 열린 IAEA 총회 중 한미 양국 수석대표 면담 일정이 담겨 있었고, 한수원 연구원장과 한국원자력연구원장, 한국원자력의학원장 등 원전 관련 기관의 대표들도 참석자로 언급돼 있었다.

합수단은 킴수키가 e메일 해킹 등을 통해 미리 이 기관들에서 해당 문서를 빼돌렸고, 여기에 악성코드를 심은 뒤 다시 원전 업계에 유포했을 것으로 보고 있다.

지난해 12월 원전 해커가 한수원을 해킹하고 내부 자료를 유포할 때 접속한 인터넷주소(IP주소) 12자리 중 앞 9자리가 킴수키의 것과 같다는 사실을 확인한 합수단은 두 건의 해킹이 중국 선양의 특정 가상사설망(VPN) 업체를 경유한 것으로 추정된다.

합수단 관계자는 “이들이 물리적으로도 매우 인접해 있었을 가능성을 보여주는 것”이라면서도 “평가에 있어서는 보안업체들과 다를 수 있어 두 해킹 건을 동일범으로 단정하기에는 이르다”고 말했다.

한편 중국에 IP 분석을 요청한 검찰은 법무부와 대검 등 공식 라인을 통해 회신을 요구하고 있는 것으로 전해졌다. 그러나 분석 결과를 받더라도 도용된 계정인 것으로 확인되면 범죄자 특정이 어려워 수사가 속도를 내기에는 어려움이 있을 것으로 예상된다.

onlinenews@heraldcorp.com