[뉴스토마토 최기철기자] 지난해 말부터 지난 12일까지 총 6회에 걸쳐 한국수력원자력 등에 실시된 해커공격은 북한의 해커조직에 의한 소행으로 밝혀졌다.

 

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 그간의 조사결과를 발표하고 "(북한이) 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민을 지속적이고 공개적으로 협박해 사회불안과 국민들의 불안심리를 자극한 사건"이라고 밝혔다.

 

합수단은 이번 해킹에 사용된 악성코드와 인터넷 접속 IP 등을 분석한 결과 악성코드가 북한 해커조직이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 그 구성 및 동작방식이 거의 같다고 설명했다.

 

또 이번 사건의 악성코드에 이용된 프로그램 버그(취약점)가 ‘kimsuky' 계열 악성코드에 이용된 버그와 동일한 점, ‘kimsuky’ 계열 악성코드들의 IP 일부가 본건 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치하는 점 역시 북한의 소행을 추정케 하는 근거로 지목됐다.

 

특히 원전의 자료탈취나 이메일 공격, 헵박글 게시 루트로 도용한 (주)H사 VPN 업체가 관리하는 다른 접속 IP 중에서, ’2014년 12월 하순 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다고 합수단은 발표했다.

 

해커들은 지난해 말 한수원 직원 3571명에게 5986통의 파괴형 악성코드가 담긴 이메일을 발송 한 뒤 PC디스크 등을 파괴하려고 시도 했으나 PC 8대만 감염되고 이 가운데 5대의 하드디스크가 초기화되는 정도에 그쳐 실패했다.

 

합수단은 범인들이 이메일에 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 뒤 그 이메일 계정에서 자료들을 수집하는 등 범행을 사전에 준비, 실행에 옮겼으나 실패하자 해킹으로 취득한 한수원 자료 등을 공개하고 협박을 시도했다고 설명했다.