“한수원 사이버테러, 北 소행”… 합수부, 인터넷 IP 등 분석 ‘사회 불안심리 자극 목적’

검찰이 한국수력원자력에 사이버 테러를 저지른 ‘원전반대그룹(Who Am I)’의 정체를 북한 해커 조직으로 판단했다. 북한 해커 조직이 쓰는 것과 동일한 악성코드를 쓴 것으로 드러났다. 검찰은 불안심리를 자극해 사회적 갈등을 부추기려는 목적으로 원전 설계도면을 공개하며 원전 가동 중단을 협박했다고 결론내렸다. 북한은 “아무 관련이 없다. 황당한 증거로 가득 찬 모략”이라고 비난했다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)은 원전반대그룹이 한수원 이메일 공격, 자료 공개에 사용한 악성코드와 인터넷 프로토콜(IP) 등을 분석한 결과 북한 소행으로 판단된다고 17일 밝혔다. 원전반대그룹의 악성코드는 북한 해커 조직이 쓰는 것으로 알려진 ‘김수키(Kimsuky)’ 계열 악성코드와 구성 및 동작 방식이 같았다. 검찰 관계자는 “함수·명령어 구조가 같고, 원격 접속을 위한 악성코드는 99.9% 유사했다”고 말했다.

한수원 협박 글 게시에 사용된 중국 선양(瀋陽) 지역의 일부 IP는 김수키와 12자리 중 9자리가 일치했다. 원전반대그룹이 자료 탈취, 이메일 공격 통로로 활용한 국내 가상 사설망(VPN) 업체에선 북한 체신성 산하 통신회사의 IP 등 총 30개 북한 IP가 접속한 흔적이 포착됐다. 검찰 관계자는 “해커가 은밀하게 드나든 통로에서 북한의 발자국이 발견된 것”이라고 설명했다.

이들은 한수원 직원 3571명에게 5986통의 악성코드 이메일을 보내 하드디스크 파괴를 시도했지만 피해는 PC 5대가 초기화되는 정도였다. 이후 직원들의 이메일에서 빼낸 첨부자료들을 공개하며 금전을 요구했다.

이경원 기자 neosarim@kmib.co.kr

▶ 관련기사 보기◀