개인정보범죄 정부합동수사단(이하 합수단)은 17일 중간수사결과를 발표해 이번 범행을 북한 해커 조직의 소행으로 잠정 결론내렸다.
우선, 합수단은 해커들이 한수원 직원 총 3,571명에게 5,986통의 악성코드 이메일을 발송해 PC 디스크 등을 파괴하려 시도했지만, PC 8대만 감염되고 5개의 하드디스크가 초기화되는 피해에 그쳤다고 밝혔다.
특히 6차례 걸쳐 공개된 자료들은 원전운용과 관련한 핵심자료가 아닌 교육용 등 일반문서가 대부분이고, 원전관리에 위험을 초래하거나 국가적 원전정책에 영향을 미칠 수 있는 중요정보는 없었다고 한수원측은 밝혔다.
해커 조직의 범행은 계획적이고 치밀했다. 이들은 한수원 관계자들의 이메일에 '피싱(phishing) 메일'을 보내 비밀번호를 차례차례 수집한 후 그 계정에서 자료들을 수집했다.
수집한 이메일 계정을 바탕으로 지난해 12월 9일부터 12일까지 나흘간 진행된 이메일 공격을 했지만 사실상 실패로 돌아가자 해킹으로 취득한 한수원 자료를 공개하며 협박을 한 것으로 보인다고 합수단은 분석했다.
해커들은 대부분 중국 선양 IP를 통해 국내 H사의 VPN 업체 IP로 접속했다.
합수단이 이번 범행을 북한의 소행으로 보는 이유는 여러 유사점이 발견되기 때문이다.
이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 'kimsuky(김수키)' 계열 악성코드와 그 구성 및 동작방식이 거의 같은 것으로 드러났다.
악성코드에 이용된 글 프로그램의 버그(취약점)가'‘kimsuky' 계열 악성코드에 이용된 버그와 동일하며, 'kimsuky’ 계열 악성코드들의 IP 일부가 이번 협박글 게시에 사용된 중국 선양 IP들과 12자리 중 9자리까지 일치한 점도 근거가 됐다.
또한, 범인들이 도용한 국내 H사 VPN 업체가 관리하는 다른 접속 IP 중에서, 지난해 말 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견되기도 했다.
합수단은 이같은 정황을 종합해 "이번 범행이 금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단된다"고 결론내렸다.
앞서 지난해 12월 9일부터 나흘간 한수원 직원 이메일 계정으로 악성코드 이메일 공격이 발생했으며, 인터넷상에 총 5차례에 걸쳐 원전 자료 공개와 함께 협박글이 올라왔다.
이들은 지난해 12월 15일 네이버에 1차로 '우리는 원전반대그룹! 끝나지 않은 싸움'이라는 글을 게시하면서, 한수원 임직원 주소록 파일 등을 공개했다.
12월 18일부터 23일까지는 다음, 네이트, 페이스북 및 트위터 등에 "크리스마스 때까지 원전 가동을 중지하고 100억달러를 주지 않으면 보유한 자료를 계속 공개하겠다"는 취지의 글을 올려 연말에 국민들을 불안하게 만들었다.
약 3개월간 잠잠하던 해커세력들은 이달 12일 러시아 블라디보스토크 IP를 이용해 트위터에 "돈이 필요하다"는 글과 함께 한수원의 원전 도면 등을 다시 게시했다.
합수단은 유관기관과의 공조는 물론 미국, 중국, 일본, 태국, 네덜란드 등 경유지 IP 서버 소재지 국가들과도 국제 수사 공조를 통해 범인을 추적했다고 강조했다.
하지만 이번 사건은 한수원의 허술한 보안 시스템을 여실히 드러냈으며, 정부는 3개월이 지난 뒤에야 범행의 실체를 파악하는 등 많은 문제점을 남겼다.
이번 사건을 계기로 공공기관과 협력업체들의 정보 보안 관리, 감독을 강화해야 할 것으로 보인다.