전체메뉴

검색
팝업창 닫기
이메일보내기

검찰 "한수원 해킹사건은 북한 소행"

북한發 접속 IP 30개 확인

지난해 말부터 원자력발전 도면을 해킹하고 한국수력원자력을 협박한 범인은 북한이라고 검찰이 결론 냈다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 "한수원 사이버테러 사건은 국가 인프라 시설을 해킹해 사회불안을 야기하기 위한 목적으로 이뤄진 북한의 소행"이라고 중간수사 결과를 발표했다.

검찰은 우선 이번 해킹이 한수원 직원 3,571명의 e메일 계정으로 악성코드가 첨부된 메일 5,968통을 보내면서 시작됐다고 파악했다. 한수원 협력회사 직원이나 퇴직자에게는 피싱메일을 보내 e메일 비밀번호를 수집해 계정에서 자료를 빼냈다.

합수단은 이 과정에서 사용된 IP주소나 악성코드가 북한 해커조직이 주로 사용하는 것과 유사하다고 봤다. 우선 협박글을 게시한 이들은 국내 IP주소처럼 보이기 위해 한국의 가상사설망(VPN) 업체를 통해 국내 포털사에 접속했는데 추적한 결과 실제 접속 지역은 중국 선양으로 국내에 알려진 북한 계열 악성코드 IP주소와 12자리 숫자 중 9자리가 일치한다는 것이 합수단의 설명이다. 검찰은 또 해당 VPN 업체 접속 IP 내역을 파악한 결과 북한 IP주소 25개와 북한 체신성 산하 통신회사인 KPTC의 IP주소 5개를 확인했다.



e메일에 들어 있던 악성코드도 북한 해커조직이 사용하는 것으로 알려진 'kimsuky(김수키)'와 유사한 것으로 확인됐다. '김수키'는 러시아 보안회사인 카스퍼스키가 지난 2013년 북한에서 만들어진 것으로 파악된 악성코드다. 이번 악성코드는 PC 내 메모장에 악성 실행코드를 삽입하는 동작방식이나 실행코드의 함수나 명령어 구조가 '김수키'와 일치한다고 검찰은 밝혔다. 검찰은 다만 이번에 공개된 자료가 중요정보는 아니며 유출은 한수원 내부가 아닌 주로 협력업체에서 이뤄졌다고 발표했다.

한편 '원전반대그룹'을 자칭한 범인은 지난해 말부터 이달까지 총 6차례에 걸쳐 원전 관련 도면 등을 인터넷과 소셜네트워크서비스(SNS)에 공개했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
주소 : 서울특별시 종로구 율곡로 6 트윈트리타워 B동 14~16층 대표전화 : 02) 724-8600
상호 : 서울경제신문사업자번호 : 208-81-10310대표자 : 손동영등록번호 : 서울 가 00224등록일자 : 1988.05.13
인터넷신문 등록번호 : 서울 아04065 등록일자 : 2016.04.26발행일자 : 2016.04.01발행 ·편집인 : 손동영청소년보호책임자 : 신한수
서울경제의 모든 콘텐트는 저작권법의 보호를 받는 바, 무단 전재·복사·배포 등은 법적 제재를 받을 수 있습니다.
Copyright ⓒ Sedaily, All right reserved

서울경제를 팔로우하세요!

서울경제신문

텔레그램 뉴스채널

서경 마켓시그널

헬로홈즈

미미상인