‘kimsuky(김수키)’ 계열 악성코드와 구성 및 동작방식 매우 유사

협박에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치

[보안뉴스 민세아] 개인정보범죄 정부합동수사단(이하 합수단)은 2014년 12월 15일부터 2015년 3월 12일까지 총 6회에 걸쳐 한국수력원자력(이하 한수원) 관련 자료를 공개하며 원전중단을 협박한 사건에 대한 수사결과를 공식 발표했다.

해커조직은 트위터 등 SNS와 블로그를 통한 협박 직전인 2014년 12월 9일부터 12일까지 한수원 직원 3,571명에게 5,986통의 파괴형 악성코드 이메일을 발송해 PC 디스크 등을 파괴하려 시도했으며, PC 8대만 감염되고 그중 5대의 하드디스크가 초기화됐다고 합수단은 전했다.

범인은 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 자료들을 수집하는 등 범행을 사전에 준비했다. 2014년 12월 9일부터 12일까지 한수원에 대한 이메일 공격이 사실상 실패로 돌아가자, 한수원 관계자 등의 이메일 계정에서 취득한 자료 등을 공개하며 협박에 이르렀다는 게 합수단 측의 설명이다.

‘원전반대그룹’이라고 밝힌 해커조직은 거의 대부분 중국 선양 IP를 통해 국내 H사 VPN 업체 IP로 접속한 사실이 합수단 수사결과 드러났다.

합수단에서 이번 범행에 사용된 악성코드와 인터넷 접속 IP 등을 분석한 결과, 이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 그 구성 및 동작방식이 거의 같고, 악성코드 유포에 이용된 ‘한글 프로그램’ 버그(취약점)가 ‘kimsuky┖ 계열 악성코드에 이용된 버그와 동일하다는 결론을 내렸다.

또, ‘kimsuky’ 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치하고, 범인이 자료탈취·이메일 공격·협박글 게시 루트로 도용한 국내 H사 VPN 업체가 관리하는 다른 접속 IP 중에서 2014년 12월 말 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견됐다.

합수단 측은 “이번 범행은 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박을 해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건”이라며, “금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단된다”고 전했다.

한편, 지난 13일 ‘원전반대그룹’ 트위터에 22건의 추가 원전 관련 자료가 공개된 가운데 이번 사건을 수사중인 합수단에서 이르면 이번 주 내로 최종 수사결과를 발표할 방침인 것으로 확인됐다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>