‘크리스마스 해킹’도 ‘김수키’(Kimsuky) 작전?

한수원 자료 유출한 ‘원전반대그룹’ 해킹 전말 서서히 드러나…
합수단, 악성코드 유포 등 사이버 공격 수법이 2013년 김수키 작전과 유사해 북한과의 연관성에 무게 둬

지난해 7월, ㅇ업체의 대표이사 ㅈ씨는 컴퓨터로 전자우편을 확인하고 있었다.
‘국가연구개발사업 최종보고서’. 그는 회사 계정으로 온 전자우편의 첨부파일을 무심코 열었다. ㅇ업체는 핵발전소 내 중대 사고와 관련한 프로젝트를 꾸준히 해왔다. 그 때문에 ㅈ씨의 전자우편에는 한국수력원자력(한수원)이나 한국원자력연구원(KAERI) 등 핵발전소와 관련한 업체로부터 온 중요한 자료가 많았다. 늘 그랬듯이 첨부파일을 열자, 그의 컴퓨터에는 아무도 모르게 ‘악성코드’가 깔렸다. 악성코드는 파일전송프로토콜(FTP) 서버에 접속해 ‘해킹 프로그램’을 컴퓨터 하드디스크에 내려받았다. 몇 달 뒤 정부와 업계를 뒤집어놓을 핵발전소 ‘크리스마스 해킹’의 시작이었다.

‘사회공학적 해킹’의 전형적인 수법

악성코드에 감염된 컴퓨터는 해커가 마음만 먹으면 원격 조작도 할 수 있었다. ‘원격 컴퓨터 조작 프로그램’(TeamViewer)에 접속하면 컴퓨터에 저장된 핵발전소 관련 문서와 정보를 고스란히 FTP 서버로 퍼나를 수 있었기 때문이다. 마치 휴대전화의 ‘복제폰’처럼 해커는 ㅈ씨의 전자우편을 확인하고 자료를 뒤져볼 수 있었다. 전자우편 계정을 통해 확보한 한수원 등 핵발전 관련 기관의 전·현직 직원들에게는 ㅈ씨의 이름으로 악성코드를 숨긴 파일을 첨부한 채 전자우편이 발송됐다. 특정 기업·단체의 관계자를 통해 보안망을 뚫는 ‘사회공학적 해킹’의 전형적인 수법이었다.

지난해 12월 ‘원전반대그룹’이 공개한 자료 가운데 ‘원전 안전해석코드’(SPACE)라는 프로그램을 띄운 PC 화면을 갈무리한 모습. 정용일 기자

지난해 말 핵발전소를 파괴하겠다며 전국을 사이버테러의 공포로 몰아넣었던 이른바 ‘원전반대그룹’(Who Am I?)의 한수원 자료 유출 사건의 뼈대가 서서히 드러나고 있다(제1043호 이슈추적 ‘공격 당한 걸까 자초한 걸까’ 참조). 물론 이미 한 달 넘게 활동하고 있는 검찰과 국가정보원, 한국인터넷진흥원(KISA)의 전문가들이 모인 ‘개인정보범죄 정부합동수사단’(합수단)의 수사는 여전히 현재진행형이다. 그러나 합수단은 원전반대그룹이 공개적인 사이버 공격을 선언한 12월 초보다 훨씬 이전에 ㅇ사뿐만 아니라 한수원 협력업체 7곳을 중심으로 한 사이버 공격이 있었으며 이를 통해 한수원 내부 자료가 상당수 유출된 사실을 확인했다. 합수단은 또 원전반대그룹이 악성코드 유포와 자료 유출을 위해 사용한 사이버 공격의 수법이 보안업계에서 북한의 시도로 의심하고 있는 2013년의 이른바 ‘김수키 작전’(The ‘Kimsuky’ Operation)과 비슷하다는 점에 주목하고 있는 것으로 알려졌다. 이러한 합수단의 조사 내용으로 그동안 “핵발전소 시스템의 내부망과 외부망을 구분해 사이버테러의 안전성을 확보했다”고 강조해온 핵발전소의 보안에 치명적인 한계가 드러났다. 이뿐만 아니라 한수원과 협력업체 사이의 사이버 보안 문제에도 대책을 마련해야 한다는 비판을 피할 수 없을 것으로 보인다.

합수단과 보안업계의 이야기를 종합해보면, 원전반대그룹은 지난해 12월15일 악성코드로 공개적인 공격을 시작하기 다섯 달 전인 지난해 7월부터 핵발전소 관련 정보를 빼내는 작업을 진행했다. 원전반대그룹은 공개적인 공격을 시작하면서 소셜네트워크서비스(SNS) 등을 통해 닷새 동안 한수원 전체 임직원의 연락처와 고리·월성 핵발전소의 도면 일부 등 모두 85건의 핵발전소 관련 자료를 인터넷 파일공유 사이트에 올린 바 있다. 당시 합수단은 “외부 전자우편에서 한수원 직원을 통해 대량으로 발송된 것이 확인됐으며 전자우편 상당수의 첨부파일에서 악성파일이 있었다. 장기간 전문적 사람 집단에 의해 이뤄졌다고 보면 된다”고 설명했다.

그렇다면 원전반대그룹이 지난해 7월부터 시작한 악성코드 공격은 어떻게 이뤄진 걸까. 현재까지의 합수단 수사 결과를 보면, 원전반대그룹은 ㅇ사 등 한수원 협력업체 7곳에서 출발해 전자우편을 통해 악성코드를 기하급수적으로 확산시켜 한수원과 관련한 인물들의 컴퓨터를 장악하는 수법을 사용한 것으로 보인다. 한수원 전·현직자들이 핵발전소 현장과 협력업체 등에 두루 포진해 있는 핵발전업계의 특성도 한몫했을 것으로 보인다. 한수원 내부에서 악성코드에 감염된 컴퓨터가 4대나 나온 것도 한수원 직원이 외부 전자우편 등을 사용하면서 사이버 공격에 노출됐을 가능성이 높다는 것을 드러낸다.

‘공격’ ‘완성’이라는 한글이 발견되고

합수단은 한 달이 넘는 조사 과정에서 원전반대그룹이 사이버테러에 사용한 공격 흐름도 분석했다. 그 결과, 전자우편을 통해 한글 워드프로세서 파일(.hwp)과 악성코드를 함께 유포한 뒤 감염된 컴퓨터에서 ‘원격 컴퓨터 조작 프로그램’을 통해 자료를 빼내는 방식이 ‘김수키 작전’ 때의 흐름과 비슷해 북한과의 연관성에 무게를 두고 있는 것으로 알려졌다. ‘김수키 작전’은 러시아의 대형 보안업체인 ‘카스퍼스키연구소’(Kaspersky Lab)가 발표한 보고서를 통해 처음 알려졌다. 카스퍼스키연구소는 2013년 9월12일 ‘The ‘Kimsuky’ Operation: A North Korea APT?’(김수키 작전: 북한의 지능형 지속공격인가?)라는 보고서를 내 “최근 몇 달 동안 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 그리고 ‘통일을 생각하는 사람들의 모임’ 등 한국의 싱크탱크가 사이버 공격을 받았다”는 사실을 공개했다. 당시 사이버 공격에 쓰인 악성코드는 사용자가 컴퓨터에서 열어본 한글 워드프로세서 파일과 전자우편에서 특정 제목을 가진 내용 등을 30분마다 빼내는 작업을 했던 것으로 확인됐다. 국내에는 보고서를 통해 뒤늦게 알려진 뒤 보안업체 등이 대응 작업을 한 바 있다.

당시 보고서에서는 몇 가지 근거를 제시하며 사이버 공격이 북한과 연계됐을 가능성이 높다는 점을 주장했다. 우선 사이버 공격으로 빼낸 정보를 옮기는 데 사용한 불가리아의 웹 메일 서비스와 악성코드를 실행하는 경로에서 ‘공격’ ‘완성’이라는 한글이 발견됐고, 접속을 했던 인터넷주소(IP)가 북한 접경지역인 중국 지린성·랴오닝성이었다는 점이다. 악성코드가 한글 워드프로세서 파일을 열어볼 경우 문서를 복제해 빼내는 기능이 있었으며, 안랩의 ‘안랩 프로그램’(AhnLab)의 방화벽을 공격하는 명령어가 있는 등 국내 환경을 공격하기 위한 내용도 북한과의 연관성을 보여주는 근거로 제시됐다. 이 가운데서도 카스퍼스키연구소가 북한을 지목한 유력한 이유는 악성코드에 감염된 컴퓨터의 정보를 마지막으로 받는 전자우편 계정의 등록자를 살펴보니 영문명 ‘Kimsukyang’(김숙향)과 ‘Kim asdfa’였다는 점이다. 이렇게 드러난 이름을 러시아식 발음으로 줄여 ‘김수키’라고 부르게 된 것이다.

한수원 보안에 나타난 또 다른 구멍

카스퍼스키연구소는 보고서에서 “(김숙향이라는) 이름이 해커의 본명이라 확신할 수 없지만, 이러한 (이름을) 선택하는 것을 쉽게 볼 수 있는 것도 아니다. 이를 통해 북한을 공격의 근원으로 의심할 수 있다. 또 국제관계를 연구하는 한국의 대학, 안보 관련 국책기관, 통일 관련 기관 등이 목표가 된 것도 북한의 해커라는 점을 의심케 하는 대목”이라고 말했다.

현재 합수단에서는 원전반대그룹이 지난해 7월부터 시도한 사이버테러 방식이 ‘김수키 작전’과 비슷한 부분이 많다고 보고 북한과의 연관성에 무게를 두고 있다. 대표적으로 한글 워드프로세서를 통해 악성코드를 유포한 뒤, ‘원격 컴퓨터 조작 프로그램’을 사용했다는 점이 가장 비슷하며, 수사 과정에서 IP 추적을 해보니 원전반대그룹이 사용한 가상사설망(VPN) 서비스 업체가 북한 접경 지역인 중국 선양에 있었다는 점을 들고 있다. 그러나 국내 보안업계에서는 사이버테러에 취약한 한글 워드프로세서의 문제점이 지속적으로 제기돼왔고, 누구나 사용할 수 있는 공개된 자료인 ‘원격 컴퓨터 조작 프로그램’을 쓴 것만으로 고유한 방식이라고 단정짓는 것은 무리가 있다고 말한다. IP도 우회가 충분히 가능하기 때문에 확실한 증거로는 부족하다고 본다. 따라서 북한과의 연관성을 얼마나 더 밝혀낼 수 있느냐가 수사 결과에 큰 영향을 미칠 것으로 보인다.

그 밖에도 합수단의 원전반대그룹의 사이버 공격 수사를 통해 주목해야 할 점은 ‘망 분리’만 강조했던 한수원의 보안에 나타난 또 다른 구멍이다. 한수원에서는 2013년 4월 핵발전소의 내부망과 인터넷이 연결된 외부망을 분리했다. 그러나 망 분리 이후에도 유관기관·협력업체 등과 자료를 공유하는 과정에서 상당수 자료가 유출됐다는 점만으로도 ‘사이버 보안의 실패’를 말하기 충분하다. 실제 원전반대그룹이 공개한 핵발전소 관련 자료 85건 가운데 월성 3·4호기 최종안정성분석보고서의 일부와 MCNP(노심설계용 공개프로그램)의 최종안전성분석보고서, 그리고 Burn4(핵종량 계산프로그램) 자료 등 ㅇ사의 사업분야인 중대 사고 예방·계측 제어 등의 업무와 관련된 내용도 상당 부분을 차지하고 있었다. 당시 한수원은 “안전 영향이 없는 일반 기술 자료”라고 밝혔지만, 중대한 자료가 협력업체를 통해 유출될 가능성은 늘 남아 있다.

뒤늦은 사이버 보안 강화 대책

핵발전소의 크리스마스 사이버테러 뒤 정부는 뒤늦게 후속 조치를 마련하느라 분주하다. 청와대 안보특보에 ‘사이버테러 전문가’인 임종인 고려대 정보보안대학원 교수를 임명하고, 원자력안전위원회는 지난 1월21일 핵발전소 해킹 등 사이버테러를 전담하는 조직을 만들고, 핵발전소 정기 점검 항목에 사이버 보안도 추가하겠다고 밝혔다. 사이버테러 등을 전담하는 국정원 사이버안전센터에서는 2월5일 사이버 공격과 관련해 한수원의 대응 등에 비판적인 목소리를 내온 탈핵 진영의 전문가들까지 아우르는 설명회를 열고, 핵발전소 사이버 보안 강화를 위한 후속 조치에 반영할 의견을 수렴하겠다고 나섰다. 늦었지만 제대로 된 해법을 내놓아야 할 때다.

김성환 기자 hwany@hani.co.kr