최근 발생한 한국수력원자력 해킹 사건에 대해 보안업계와 전문가들은 북한의 소행일 가능성을 배제하지 않으면서도 여러 가능성을 열어두고 신중하게 대처해야 할 것이라는 입장을 보이고 있습니다.
정보보안업체 하우리 관계자는 "이번 해킹은 하드웨어 파괴라는 점에서는 이전 북한의 소행이라고 알려진 3.20 및 6.25 사이버 테러, 소니픽처스 해킹 등과 비슷하지만 악성코드 자체는 당시 사용됐던 것들과 다르다"며 "하지만 이번에 쓰인 악성코드의 일부 코딩이 이전 테러 때 사용됐던 악성코드 코딩과 유사해 아예 북한이 아니라고 얘기하기는 어렵다"며 신중한 태도를 보였습니다.
이 관계자는 "소니 테러가 일어났을 때는 이전에 일어났던 사건들과 악성코드가 일치해 북한의 소행이라고 단정지을 수 있었다"며 "지금은 그렇게까지 단정짓기는 어렵고 악성코드가 추가적으로 발견되거나 IP가 밝혀진다면 좀더 자세하게 누구의 소행인지 알 수 있을 것"이라고 설명했습니다.
이번 공격을 감행한 해커가 트위터를 통해 공격을 알리면서 '청와대, 아직도 아닌 보살'이라는 표현을 사용했다는 것도 북한 소행으로 추정할 수 있는 근거중 하나로 지목되고 있지만 반론도 적지않습니다.
'아닌 보살'은 북한에서 '시치미를 뗀다'는 의미로 주로 쓰이는 용어여서 이같은 추론이 나오고 있는 것입니다.
하지만 이 보안업체 전문가는 "오히려 북한의 소행인 것처럼 보이게 하려고 이러한 표현을 썼을 수도 있다"며 "말투는 조선족일 수도 있고, 중국인일 수도 있으니 추가적인 단서가 나올 때까지는 말하기 어렵다"며 단정을 자제했습니다.
다만 그는 "악성코드는 북한이 새로 개발했을 수도 있으며, 심증으로는 북한의 소행이라고 생각한다"고 밝혔습니다.
다른 보안업체 이스트소프트 관계자도 "악성코드에서 북한이 저지른 이전 테러들과 유사한 패턴이 발견돼 북한의 소행일 가능성이 있다고 짐작하고 있다"고 말했습니다.
이번 사건을 수사 중인 개인정보범죄 정부합동수사단이 '좀비PC'가 가동된 흔적을 파악했다는 점도 해커의 정체를 파악하는데 주목할 요소중 하나로 꼽히고 있습니다.
임종인 고려대 정보보호대학원 원장은 "좀비 PC를 사용했다는 것은 자신의 정체를 숨기려는 전문적인 집단일 가능성이 크다는 의미"라며 "범인들이 정체를 들어낼듯 말듯 심리전을 활용해 수사력을 분산하는 것을 봤을 때 북한이든 북한의 지원을 받는 집단이든 상당히 전문적"이라고 분석했습니다.
한편, 한수원 원전 제어망 사이버 공격 가능성에 대해 보안전문가들은 한수원측과 달리 가능성을 열어놓고 있습니다.
한수원을 해킹했다고 주장하는 '원전반대그룹 후엠아이(WHO AM I)'가 원하는 바를 얻지 못하면 "원전 도면 10만여장을 추가 공개하고 (한수원 서버에 대한) 2차 파괴를 실행하겠다"고 밝힌 것에 대해 한수원은 원전 제어망이 사내 업무망이나 사외 인터넷망과 완전히 분리된 단독폐쇄망으로 구성돼 사이버 공격이 원천적으로 불가능하다는 입장입니다.
그러나 보안전문가들은 한수원이 실시간으로 원전 운영정보를 올리는 등 폐쇄망과 인터넷의 접점이 있을 수밖에 없는 점 등을 들어 해당 악성코드가 폐쇄된 내부컴퓨터로 옮겨갔을 가능성을 완전히 배제할 수는 없다는 분석입니다.
전에 이란 핵시설이 '스턱스넷' 바이러스로 공격당했다고 알려졌을 때도 직원의 USB로 바이러스가 전파됐던 것처럼 사소한 부주의가 순식간에 바이러스를 퍼뜨릴 수 있다는 것이 보안업계의 설명입니다.
전문가들은 해당 악성코드를 담은 이메일이 한수원 뿐 아니라 정유 등 주요 기간시설을 담당하는 공기업을 중심으로 발송된 점을 들어 추가 피해가 발생할 가능성도 있는 것으로 전망했습니다.
(SBS 뉴미디어부)