수사결과 발표시점 두고 내부 고심중...북한 소행으로 결론낸 듯  

[보안뉴스 김경애] 한국수력원자력(이하 한수원) 해킹사건이 발생한 지 벌써 두 달여의 시간이 지났지만 아직까지 종합적인 수사결과가 발표되지 않고 있는 실정이다. 이러한 가운데 수사발표 시점과 해킹조직의 실체에 대한 관심은 더욱 커지고 있다. 

해킹사태 이후 한수원은 방화벽, 문서보안, VPN 등의 보안 솔루션이 대거 도입된 것으로 알려졌고, 조직 역시 확대되는 등 전반적으로 보안체계에 대한 개선작업이 진행된 것으로 나타났다.

이와 관련 한 보안업계 관계자는 “지난해 12월 한수원에 보안 솔루션 등이 추가 도입됐으며, 주로 방화벽, VPN, 문서보안 관련 솔루션이 들어간 것으로 알고 있다”고 말했다.

그러나 사건이 발생한지 2개월이 지난 현재까지 종합적인 수사결과는 발표되지 않고 있다. 다만 최근 한수원 협력사 사장 PC가 해킹됐다는 등의 일부 내용만 추가적으로 밝혀졌을 뿐이다. 이에 본지는 정부관계자, 수사기관 관계자, 보안종사자 등과의 연쇄 인터뷰를 통해 한수원 해킹사태와 관련한 수사상황 및 결과발표 여부, 해커조직 등에 대해 짚어보고자 한다. 모든 취재원은 소속과 이름을 밝히길 원치 않았기에 A, B, C 등으로 지칭한다.

한수원 해킹 수사 발표, 시기는 언제?
Q. 우선 한수원 사건이 발생한 지 두 달이 지났습니다. 이쯤 되면 수사결과가 나올 때가 된 것 같은데 어디까지 수사가 진행되고 있나요?

A: 제가 말할 수 있는 입장은 아닙니다. 다만 한수원 해킹사건과 관련해 이미 앞서 몇 차례 북한공격 사례와 유사성이 있다는 언론보도 내용이 있었는데, 이에 대한 이견은 없는 상태입니다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사, 이하 합수단)의 공식 수사결과를 모두 기다리고 있습니다.

B: 윤곽은 충분히 잡혔으나, 합수단에서 발표시점을 두고 고민하는 것 같습니다. 북한에 대한 언급이 워낙 파급력이 크기 때문에 사실에 기반해 보다 심층적인 조사를 진행하는 것으로 알고 있습니다.

Q. 수사결과 발표를 고민하고 있는 이유가 무엇인가요?

B: 공식적인 수사발표에 신중을 기하고 있는 것으로 보입니다. 좀더 명확한 사실에 근거한 자료를 준비하는 것 같습니다. 하지만 신중히 대응하는 것도 필요하지만 미국의 소니픽쳐스 해킹사건 발표처럼 신속성도 중요하다고 봅니다.

C: 한수원 해킹조직은 북한으로 지목되는 분위기입니다. 그러나 워낙 민감한 사안이 될 수도 있기 때문에 구체적인 자료수집에 나서고 있을 것이라 생각됩니다.

한수원 해킹조직, 도대체 누구?

Q. 한수원 사건이 외부로 알려지기 시작한  시점이 소니픽쳐스 이슈가 터졌을 때와 거의 일치합니다. 게다가 소니픽쳐스 해킹 조직과 국내 6.25 사이버테러 조직의 악성코드가 거의 일치하는 것으로 드러나기도 해 한·미 양국 모두 북한을 지목한 바 있습니다. 단도직입적으로 묻겠습니다. 이번 사건도 북한 소행인가요?

A: 맞다고 봅니다. 북한 소행이 유력합니다. 이미 7.7 디도스 사건 때부터 MBR 파괴 등과 같은 유사한 공격기법과 SNS 심리전술이 이어지고 있기 때문이죠. 일부 전문가들의 조사처럼 표현방식에서도 북한과의 유사점이 곳곳에서 드러나고 있습니다. 이들은 중국 선양, 북한 평양 등에서 활동하고 있죠.

B: 북한 소행이 유력한 상황입니다. 그런데 문제는 한글(HWP) 취약점을 이용한 악성파일이 한수원 해킹사건에서만 발견되지 않았다는 겁니다. 사회기반시설은 물론이고 정부, 군관련기관 등에 전방위적으로 뿌려졌을 것으로 추정됩니다.

C: 소니픽쳐스 해킹조직과 동일한 조직으로 보입니다. 이미 소니픽쳐스 해킹과 6.26 사이버테러 때 사용했던 악성코드의 소스코드가 거의 일치하는 것으로 드러났으며, 한미 보안전문가들이 관련해서 긴밀하게 정보공유를 하고 있습니다.

D: 한수원 해킹 조직은 이미 수년전부터 체계적으로 공격준비를 해왔습니다. 이들이 소니픽쳐스 해킹을 일으킨 목적은 영화 ‘인터뷰’ 상영을 막기 위함이었습니다. 그런데 소니 해킹이 이슈가 되면서 국내에서도 보도되기 시작됐고, 6.25 사이버테러 당시와 악성코드가 일치한다는 사실 등이 공개되면서 공격 타깃이 국내로 이동했다고 봅니다. 소니픽처스 해킹 공격에 한국이 끼어들지 말란 의미로요. 한국은 한국 일에나 신경쓰라는 의도로 한수원 해킹사건을 공개했다는 추측이 가능합니다.

Q. 군 관련기관이라 함은 정확히 어디를 지칭하는 건가요? 혹시 일전에 해킹 이슈가 있었던 국방과학연구소도 포함돼 있나요?

B: 군 관련기관이 특정해서 한 곳만 지칭되는 건 아닙니다. 말 그대로 전방위적으로 공격대상이 될 수 있기 때문에 관련기관 대부분이라고 보는 게 보다 적절하다고 봅니다.

C: 제가 알기론 계정 등을 통해 체계적으로 관리하면서 지능화된 공격을 수행하고 있습니다. 이를테면 국방 자료는 1계정 PC에, 한수원 자료는 2계정 PC에, 이처럼 체계화적으로 타깃 공격이 진행된다는 거죠.

E: 북한의 사이버전 조직은 우리가 생각하는 그 이상으로 다방면에서 활동하고 있으며, 조직적으로 운영됩니다. 주요 업무는 정부 및 군관련 기관 등의 내부자료 수집과 외화벌이 등이며, 최종적인 목적은 남한 사이버체계를 일시에 무력화시키기 위함입니다.

특히, 외화벌이의 경우 시행성 인터넷 도박사이트를 많이 활용합니다. 또한, 국내 커뮤니티 사이트 등을 통해 악성 댓글을 작성하기도 하며, SNS를 통해 사회혼란이나 남남갈등을 조장합니다. 이를 통해 사회적·정치적 혼란을 야기하는데 그 목적이 있습니다. 그렇기 때문에 이들의 움직임을 전체적인 시각에서 분석할 수 있는 전문가들이 많이 필요합니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>