[기사] 한수원 해킹 사태! 최초 보도 이후 보름여의 기록들

출처 : http://www.boannews.com/media/view.asp?idx=44886&page=1&kind=1&search=title&find=


12일 긴급 기사, 15일 받은 메일, 16일 정보유출 최초 보도, 그리고...
한수원 사태, 지금까지 어떻게 왔나? 앞으로 어떻게 해야 하나?_ 
25일 이어 27일도 지났지만...그러나 아직 끝나지 않은 사이버 전쟁  


[보안뉴스 권 준] 현재 온 국민의 눈과 귀가 쏠리고 있는 한수원 해킹 사태. 원전반대그룹(Who Am I)이 정한 시한인 25일 크리스마스와 원자력의 날인 27일은 일단 무사히(?) 지나간 만큼 지금까지의 사태를 다시금 정리해볼 필요가 있다. 사실 지금부터가 더 중요하므로 복기(復棋)가 필요한 시점이기도 하다. 그럼 이제는 국민안전을 위협하는 중대사안으로 모든 언론들이 앞 다퉈 보도하고 있는 한수원 해킹 사태의 시작은 무엇이었을까?  

지금까지의 수사결과 원전반대그룹이라는 해커조직에서 이미 오래 전부터 한수원을 타깃으로 한 사이버공격을 치밀하게 준비했고, 미리 확보한 퇴직자 명의의 이메일을 통해 내부 직원들에게 표적 공격을 감행한 것으로 드러났다. 그럼 한수원 직원들을 타깃으로 한 표적 공격이 감행된 9일을 지나 본지가 그 사실을 최초 보도한 12일로부터 시작되는 한수원 사태의 보름간의 기록들을 한번 따라가 보자.


# 12월 9일 - 한수원 직원 타깃으로 한 표적 공격 감행_ 
미리 탈취한 한글문서 ‘제어program(최신-W2).hwp’ 등이 퇴직자 명의의 이메일에 첨부돼 한수원 직원들에게 발송됐다. 이 한글파일을 다운로드 할 경우 하드파괴 기능이 있는 악성코드가 감염될 수 있었고, 지금까지 공개된 바로는 한수원 내 직원 PC 4대가 해당 악성코드에 감염된 것으로 드러났다. 여기서 문제는 이러한 악성 메일이 한수원 직원뿐만 아니라 다른 국가주요기반시설의 직원, 그리고 국방·안보분야 담당자들에게도 발송됐다는 점이다. 이것이 바로 한수원만이 아닌 다른 추가 피해가 우려되는 이유다. 


# 12월 12일 새벽 1시 20분 - 원전 등 타깃으로 한 표적 공격, 긴급 보도_ 
본지는 원자력발전소 등 제어·발전시설의 안전담당자를 대상으로 한 표적 공격이 발생했다는 정보를 입수한 후, 추가 취재를 거쳐 ‘원자력발전소 등 타깃 사이버테러 징후 포착’이라는 제목의 [긴급] 기사로 한수원 사태의 첫 시작을 알렸다. 이 기사를 통해 처음 등장한 해커조직의 이름이 바로 ‘Who Am I’였으며, 한수원 사태의 본격적인 파장을 예고한 기사가 됐다.


# 12월 13일 오후 2시 13분 - 한수원 “피해 거의 없다” 발뺌? or 몰라서?_
하드파괴 악성코드가 유포됐다는 점, 그리고 원전을 타깃으로 삼았다는 점 등에서 북한의 해커조직으로 추정한 본지는 사태의 심각성을 직감하고 한수원을 대상으로 피해현황에 대한 추가 취재에 들어갔다. 그러나 당시 한수원 측은 “이메일을 통해 들어온 악성코드는 관계기관에 의해 9일 최초 발견됐으며, 내부적으로는 피해가 거의 없다”고 언급했다. 그러나 직원 PC 4대가 감염돼 피해가 발생했고, 감염 PC 조사를 한 보안업체에 의뢰한 것으로 추후 밝혀진 바 있다. 이로 인해 당시 “피해가 거의 없다”고 말한 한수원 측 설명은 의도적으로 발뺌을 했거나 피해의 심각성을 제대로 인지하지 못했다는 의미가 된다.   

 

# 12월 15일 밤 8시 52분 - 본지 편집국으로 날아온 수상한(?) 메일들_
이렇듯 한수원 측의 석연치 않은 해명으로 그냥 묻힐 뻔 했던 이번 사건은 15일 밤 본지 편집국으로 날아온 메일로 인해 새로운 국면을 맞게 된다. 15일 밤 8시 52분 본지 편집국 계정 두 개로 들어온 메일들은 보낸 사람 이름도 없이 mitucodhyt라는 이름으로 ‘기사제보’라는 제목을 단채 단순히 블로그(http://blog.naver.com/tlsrk112) 주소만을 기재한 메일이었다. 이어 오후 9시 49분에는 ‘원전자료’라고 메일 제목만 바꾼 채 블로그 주소를 보내왔다. 

 ▲ 원전반대그룹에서 15일 밤 8시 52분경 본지에 최초로 보내온 메일. 다른 설명 전혀 없이 블
    로그 주소만 기재돼 있다. 
      


하루에도 수많은 스팸메일과 제보, 그리고 보도자료를 받는 편집국으로써는 별로 특별할 것이 없는 시민단체의 목소리를 담은 블로그 소개 메일 또는 스팸 메일에 불과한 것으로 생각할 정도였다. 그러나 뒤늦게 확인해보니 보낸 사람의 메일주소(kdfifj1029@hotmail.com)가 블로그가 폐쇄된 이후 트위터를 통해 협박하고 자료를 공개했던 ‘John’이라는 인물이 쓰던 아이디로 밝혀지면서 원전반대그룹이 한수원을 해킹한 해커조직과 동일조직라는 점이 드러나게 됐다.   


# 12월 16일 오전 11시 24분 - 원전반대그룹, 유출문서 3개가 첨부된 메일 발송_ 
15일, 블로그 주소만 기재한 메일이 몇 차례 들어온 데 이어 16일 오전 11시 24분에 보낸사람에 ‘권**’라는 특정 이름이 기재되고, 해당 블로그 주소와 함께 3개의 첨부파일이 포함된 메일이 본지 편집국으로 다시 발송된다. 해당 메일에는 ‘KHNP 주소록’라는 이름의 엑셀파일과 ‘제어 프로그램 설명서’와 ‘아랍에미레트 왕세제에게 보낸 친서’라는 제목의 한글파일 등 총 3개의 첨부파일이었고, 이 자료가 현재 세상을 떠들썩하게 만든 한수원 해킹 사태의 서막이 됐다. 

▲ 원전반대그룹에서 16일 오전 11시 24분경 KNHP 주소록 등 3개의 파일을 첨부해 본지에 
   보내온 이메일.


이 메일을 받고 본지 편집국은 해당 자료의 심각성을 인식하면서도 유출자료가 과연 진짜인지, 그리고 한수원의 직원 정보가 맞는 것인지 반신반의했고, 확인작업에 만전을 기하는 등 보다 신중하게 접근하고자 했다.  


여기서 독자들이 궁금해 할 수 있는 부분이 하나 있을 것 같다. 왜 수많은 언론 가운데 본지에게만 유출자료를 보냈던 것일까? 나름의 추측을 곁들여 본다면 본지가 보안전문 매체라는 특성과 함께 앞서 지난 9일 한수원 직원들을 대상으로 악성 메일을 보낸 사실을 인지하고 ‘원자력발전소 등 타깃 사이버테러 징후 포착’이라는 제목으로 최초로, 그리고 거의 유일하게 관련 보도를 내보냈기 때문이 아닐까 싶다. 원전반대그룹에서 본지 편집국내 메일계정 2개로만 관련 메일을 보냈는데, 2개의 메일계정이 관련 기사를 작성했던 기자 2명의 메일주소였던 점도 이러한 추측을 뒷받침해준다.    


# 12월 17일 오전 10시 50분 - 한수원 사태의 서막이 된 직원정보 유출 단독 보도_
원전을 반대하는 시민단체 측에서 입수한 자료일 것이라고 생각하면서도 혹시나 하는 마음에 한수원 직원 10,779명의 개인정보 파일부터 일일이 확인작업에 들어간 본지는 직원명부가 거의 정확한 일치한다는 사실을 확인할 수 있었다. 그 후, 여러 차례 내부 논의 끝에 유출사실을 한수원 측에 알리는 동시에 기사화를 전격 결정하게 된다. 

한수원 측에서도 1만명 이상의 개인정보 유출사실을 알게 됐을 때는 행자부 등에 반드시 신고하고, 피해자들인 내부 직원들은 물론 외부에도 고지하게끔 되어 있기 때문이다. 이로 인한 단독보도의 파장은 매우 컸다. 전국에 산재한 원자력발전소와 수력발전소를 총괄 관리하는 한수원 직원 전체 10,779명의 명단이 외부로 유출된 것인데다가 2차 피해의 가능성까지 우려되는 상황이어서다. 그러나 그때까지 한수원 측은 해킹 가능성을 부인하면서 퇴직자 커뮤니티 등 내부자에 의한 유출 가능성을 제기했다. 이어 본지는 수사당국에도 블로그의 존재를 신고해 본격적인 수사가 진행되도록 했다.  


# 12월 18일 오후 3시 28분 - 원전반대그룹의 2차 유출자료 메일 도착과 블로그 공개_
본지는 한수원 직원 전체의 개인정보 유출사실을 단독 보도했음에도 불구하고, ‘제어 프로그램 설명서’ 등 원전관련 기술 파일을 기사화하는 데는 고심이 따를 수밖에 없었다. 이번 보도가 국익에 미칠 영향 등을 다각도로 고려할 수밖에 없었던 것이다. 

▲ 원전반대그룹에서 18일 오후 3시 28분경 유출자료를 추가 공개했다고 블로그 주소를 
   첨부해서 보낸 이메일.


그러한 고민이 이어질 때쯤인 오후 3시 28분, 원전반대그룹으로부터 2차 유출파일이 도착하게 된다. ‘박**’이라는 이름을 쓰고, 블로그 주소와 동일한 tlsrk112@naver.com을 쓰는 인물로, 원전반대그룹 한국지부장이라고 자신을 지칭하면서 시작하는 메일이었다. “네이버 블로그에 원전 해킹 데이터 추가공개했다”는 말과 함께 ‘원자력발전소 주변 주민 방사선량 평가 프로그램’이라는 제목의 한수원 내부 프로그램 캡처 화면을 함께 보내왔다.

 

이어 또 다른 기자의 메일로는 “기회가 되면 한수원에 저희가 들여보낸 바이러스 다 잡았나도 물어봐 주세요. 제어 시스템 파괴지령이 들어갓는지 저희도 잘 기억이 안나네요”라거나 “제어 프로그램 설명서 파일도 기사에 올려야 하지 않나요. 그렇게 하신다면 공개안한 데이터도 많이 드릴텐데..” 등의 말로 기사화를 독촉하는 등의 내용도 추가해서 보내게 된다.     


# 12월 18일 오후 7시 12분 - 특별취재팀 꾸려 연이은 단독 보도_

그럼에도 불구하고 기사화를 고민하던 본지는 유출 자료들이 올라온 블로그가 다른 이들에게도 알려지고, 원전반대그룹이 다른 언론에도 블로그를 공개함에 따라, 본지가 보유한 자료를 국민들에게 모두 공개해 원전의 보안위협 실태와 실상을 정확히 알릴 필요가 있다는 판단 아래 특별취재팀을 꾸리고, ‘[단독] 한수원, 직원정보 이어 기술자료까지 유출’ 등 단독기사를 잇따라 게재하게 된다.


원전반대그룹은 본지가 한수원 직원정보 유출 사실 외에 설계도를 포함한 1,2차 유출자료에 대한 보도에 신중을 기하자, 사회 혼란을 유도하려는 계획이 차질을 빚을 것을 우려한 나머지 다른 언론들에도 블로그 주소를 공개했던 것으로 보인다.


# 12월 19일 오후 8시 30분 - 원전반대그룹, 트위터 통해 세 번째 유출 자료 공개_

본지의 연이은 단독 보도 이후, 블로그가 폐쇄되고 모든 언론들이 이번 사건에 관심을 가지게 되면서 원전반대그룹 측도 직접 트위터를 통해 유출자료의 추가 공개에 나서게 된다. 이 당시 공개된 자료는 ‘고리 1호기’라고 이름 붙여진 설계도면과 부품 스펙 및 매뉴얼, 한수원 자체 비밀세부분류지침, 한수원 2직급 명단과 한수원 내부에 심어놓은 것으로 추정되는 프로그램 실행화면 등 9개의 파일이다.


이 때부터 모든 언론들이 트위터를 통해 공개되는 유출파일들에 대해 상세히 보도되면서 국민들의 불안감이 확산되고, 이번 사건 수사를 맡게 된 개인정보범죄 정부합동수사단(이하 합수단)의 수사가 본격화되면서 수사 상황들이 국민들에게 알려지게 된다.  


# 12월 21일 오전 1시 32분 - 원전반대그룹, 매뉴얼 등 네 번째 유출자료 공개_

21일 오전 1시 32분에는 원전반대그룹의 4번째 유출자료가 공개된다. 당시 공개된 파일은 월성 1호기와 고리 2호기의 설계도 및 매뉴얼 등 총 4개 파일이며, 드롭박스를 통해 다운로드 받을 수 있도록 했다.


특히, 4차 공개 때는 ‘청와대 아직도 아닌 보살’이라는 제목으로 청와대를 비난하고, 원전 가동을 중단하지 않을 경우 크리스마스 때 공격하겠다는 협박성 메시지까지 남기면서 해킹 배후로 북한의 가능성이 크게 대두되기 시작했다. 아닌 ‘아닌 보살’이라는 북한식 표현과 함께 원전 공격을 예고하는 대담성, 그리고 사회 혼란을 부추기는 심리전까지 감행한다는 점에서 고도의 훈련을 갖춘 사이버전 조직이라는 전문가들의 의견이 제기됐기 때문이다.    

  

# 12월 23일 오후 3시 23분 - 원전반대그룹, 마지막 5번째 유출자료 공개_

23일 오후 3시 경에는 원전반대그룹이 마지막 5번째 추가 자료 공개와 함께 국민들을 왜 대비시키지 않느냐며, 12월 9일을 역사에 남도록 할 것이라는 말도 덧붙였다. 특히, 5번째 유출자료에는 안전해석코드(SPACE)라는 원전 프로그램을 구현한 화면을 캡처한 자료도 있었는데, 안전해석코드는 한수원이 국산화한 원전 핵심기술로 알려져 파장이 더욱 커졌다.  

    

# 12월 25일과 27일 - ‘크리스마스’와 ‘원자력의 날’, 겉으로는 평온했지만..._ 

원전반대그룹이 원전 중단시한으로 예고했던 25일. 한수원을 비롯한 관련부처 및 기관에서 비상대응태세로 돌입한 크리스마스와 본지와 일부 보안전문가들이 우려했던 27일 ‘원자력의 날’은 겉으로 보기엔 아무 일 없이 넘길 수 있었다. 그러나 외부망과 내부망이 완전히 분리돼 내부망 침입 가능성은 절대 없다던 한수원 측에서 인터넷을 완전 차단하는 등의 임시방편식 대응으로 뒷말을 남기기도 했다.


# 12월 28일 오전 11시 - 한수원 조석 사장 기자회견, 일련의 사태 사과했지만..._

한수원 조석 사장은 28일 11시 기자회견을 열고 원전자료 유출사건과 신고리원전 가스 누출 사고에 대해 “국민께 많은 심려 끼쳐 죄송하다”며 공식 사과했다. 조 사장은 “한수원 업무망에 대한 사이버 공격은 지금도 계속되고 있지만, 현재 원전 20기가 안전하게 가동되고 있다”며 “사이버공격으로 원전을 멈추게 하지 못한다”고 강조했다. 이와 함께 그는 “범죄자의 행위로 한수원의 성과가 묻혀 안타깝다”고  덧붙이기도 했다. 일련의 사태에 대한 진정한 반성이 없다는 비판을 받을 수 있는 대목이다.


지금까지 12일 본지의 최초 보도로 드러난 9일 한수원 타깃 사이버공격의 시작에서부터 16일 한수원 직원파일 유출과 관련된 단독보도, 그리고 28일 한수원 조석 사장의 기자회견에 이르기까지 한수원 해킹사태, 보름여간의 기록을 정리해봤다.  


이 보름 사이 9일 발생한 사이버공격 당시 보낸 악성코드의 종류와 기능, 피해규모, 퇴직자 명의로 메일이 발송됐다는 점 등이 밝혀졌다. 또한, 9일 공격을 감행한 조직과 유출자료를 공개한 조직이 동일범이라는 사실, IP 추적 결과 북한 해커조직이 많이 활동하는 중국 선양이 주 근거지로 나왔다는 점 등도 수사결과 드러났다.  그러나 아직까지도 많은 것들이 미궁 속에 빠져 있다. 

더구나 일부 보안전문가들은 또 다른 국가주요시설도 공격당한 정황이 드러났다며, 모든 이들이 한수원에 집중할 때 다른 곳을 공격하거나 시일이 조금 지나 방어가 느슨해진 틈을 타 한수원을 다시금 노릴 가능성을 우려하고 있다. 이젠 하루하루가 전쟁이고 디데이라고 할 수 있다. 우리나라 정부부처와 주요국가시설, 국방 분야를 타깃으로 한 사이버전은 지금 이 시간에도 지행되고 있기 때문이다.