北 고유 악성코드와 99.9% 유사 국내 VPN 접속 흔적… 檢 ‘한수원 사이버테러는 北 소행’ 결론

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)은 한국수력원자력 사이버테러범의 공격 경로에서 북한에 주소지를 둔 인터넷 프로토콜(IP)을 발견하지는 못했다. 중국 사법 당국에 요청한 선양(瀋陽) 지역 IP와 북한의 연계성 여부도 아직 회신을 받지 못하고 있다. 검찰 관계자는 “분석 결과가 100% 나온 것은 아니다”고 말했다.

하지만 검찰은 다양한 정황 증거로 볼 때 배후에 북한이 없다고 말하기가 오히려 어렵다는 입장이다. 한수원 해킹에서 북한 고유의 악성코드와 99.9% 유사한 악성코드가 쓰였고, 사이버테러범이 공격 경로로 삼은 국내 가상사설망(VPN) 업체에서도 북한의 접속 흔적이 발견됐기 때문이다.

◇175.167.***.***=사이버 수사기법을 총동원해 6000개에 이르는 이메일 공격에 사용된 IP를 분석하던 검찰은 중국 선양 지역에서 접속한 IP가 ‘175.167’로 시작하는 점에 주목했다. 미 연방수사국(FBI)이 보유한 IP 자료 등과 비교해본 결과 이 주소는 북한 해커조직이 쓴다는 ‘김수키(Kimsuky)’ 계열 악성코드의 IP와 12자리 중 9자리가 일치했다. 검찰 관계자는 “행정구역으로 따진다면 ‘동’까지 일치하는 수준”이라고 설명했다.

한수원 퇴직자 등에게 ‘피싱 메일’을 보내는 등 각종 사이버 공격에 사용된 악성코드는 아래아한글 프로그램의 오류(버그)까지 ‘김수키’와 동일했다. 이는 지난해 7월 한수원 협력업체 대표 조모씨에 대한 이메일 공격의 흔적에서 발견됐다. PC에 심은 악성코드를 수행시킬 때 메모장 프로그램을 띄우는 방식, 숫자나 영어 배열 등도 ‘김수키’와 동일했다.

검찰은 이번 사이버테러의 목적을 금전보다는 대한민국의 사회적 혼란을 야기하기 위한 것으로 본다. 실제로 ‘원전반대그룹(Who Am I)’은 6차례에 걸친 협박 글을 올리면서 2차례만 금전 요구를 했다. 그나마 요구액을 정확히 밝히지 않고 전달 장소·시간을 산업통상자원부가 알아서 정하도록 했다.

◇북한 해킹, 우리 가까이에 있다=북한 해커조직은 우리 국민에게 실질적인 금전 피해를 줄 수 있는 존재다. 검찰은 북한 해커조직이 한수원을 해킹하는 과정에서 국내 VPN 업체를 거쳤고, 국내 가입자의 ID를 도용해 유료 서비스를 이용할 수 있었다고 밝혔다. 이 과정에서 북한 해커조직이 타인의 ID만 도용하는 것이 아니라 은행 계좌에 입금된 돈을 스미싱(Smishing) 방식으로 탈취해 유료서비스 결제에 이용한 사례도 포착됐다. 검찰 관계자는 “휴대폰 소액결제는 해커들에게 어려운 부분이 아니다”며 “경제범죄에 쓰이면 또 다른 문제가 부각될 수 있다”고 말했다.

북한의 해킹 기술은 점점 발전하고 있다. 검찰은 “이제는 굳이 건물 내 PC로 접속하지 않고, 스마트폰을 사용하듯 걸어 다니면서도 얼마든지 해킹을 할 수 있는 수준”이라고 했다. 마음만 먹으면 무선중계기를 이용해 압록강 근처에서 선양 지역의 IP를 통해 접속할 수 있다는 것이 검찰의 진단이다.

정보를 탈취하는 방식도 날로 교묘해진다. 퇴직자를 가장한 사이버테러범이 한수원 직원들에게 보낸 이메일 문서 중 하나는 ‘연구자 보안서약서’였다. 이에 따라 검찰은 해킹에 대비한 범국민적 사이버 보안노력이 필요하다고 강조했다. 포털 사이트의 이메일은 업무상 사용을 자제하고, 제삼자의 임의접속 사실을 꾸준히 확인해야 한다고 조언했다.

이경원 기자 neosarim@kmib.co.kr

▶ 관련기사 보기◀