• 9 Stories

한수원 해킹

◇예 고 장◇
오늘 밤 당신의 원전 도면을 공개하겠습니다.

- 괴도 '원전반대그룹'

by dustball, flickr(CC BY)

잊을 만하면 다시 나타나는 ‘원전반대그룹’

원전반대그룹이 트위터 계정을 다시 개설하고, 원전 관련 자료를 인터넷에 공개했습니다. 3일 공개된 자료에는 월성원전 도면, 2015 한수원 발주계획, 육군본부 화생방 정찰장비 운용 교본, 윤병세 외교부 장관이 지난해 7월 존 케리 미 국무장관에 보낸 서신, 방사성 제논 탐지장비 운용 결과 분기보고서, 13년도 을지연습 각본(안)이 포함됐습니다.

트위터 이용자 원전반대C그룹은 3일 새벽 자신의 트위터 계정에 “대한민국 청와대, 국방부, 국정원, 외교통상부, 한수원 등에서 넘겨받은 기밀자료 국제공개 입찰”, “대한민국 청와대는 청개구리집” 등의 글을 연달아 올렸습니다.

그는 “입수한 원전도면 십여만 장과 중요 프로그램들을 되돌려주는 협상을 여러 차례 요구하였으나 청와대 박 대통령은 탄핵이 두려워 움츠리고 있다”며 “이미 북한과 동남아, 아프리카, 남아메리카의 여러 나라들에서 거래 문의가 들어왔다. 거래 합의만 되면 어느 나라든 관계없이 전부 넘겨줄 것”이라고 밝혔습니다.

“입수한 원전데이터에 대해 법률자문을 의뢰한 결과, 원전기술이나 기업비밀이 나가기 때문에 절대로 유출되어서는 안 될 매우 중요한 자료로 판명되었다”고도 주장했습니다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 지난 3월 “한수원 사이버테러가 북한 해커조직의 소행으로 판단된다”는 중간 수사결과를 밝힌 바 있습니다.

천사소녀네티급 예고 범죄, 고리·월성원전 도면 인터넷에 공개

자신을 '원전반대그룹 회장 미핵'이라고 주장한 해커가 국내 포털사이트의 블로그와 트위터 등을 통해 네 차례에 걸쳐 한국수력원자력(이하 한수원) 내부자료를 유출하고 있습니다. 한수원은 18일 서울중앙지검에 해킹 사실을 수사 의뢰하며 해당 블로그를 폐쇄 요청했습니다.

12월 15일: 한수원 전·현직 직원 1만799명 인적사항을 포함한 내부자료 공개. '특급보안 원전 설계, 제어프로그램 조금씩 올려놓겠다'며 추가 공개 예고

12월 18일: 한수원 직원 연락처와 경북 경주 월성 1·2호기 제어프로그램 해설서 등을 공개.

12월 19일: 블로그 폐쇄되자 트위터 등에 고리 1호기 원전 냉각시스템 도면과 발전소 내부 프로그램 구동 캡처 이미지 등을 공개하며 "성탄절부터 고리, 월성 원전 일부의 가동을 중단하라" 요구

12월 21일: 고리 2호기와 월성 1호기 관련 내부 문서, 원전에서 사용하는 프로그램인 MCNP5와 BURN4 매뉴얼 등을 공개하며 금품 요구. "자료 회수를 원한다면 돈을 부담해야 할 것"

산업통상자원부는 18일 "제어프로그램·계통도면·배관설치도는 운전·정비용 교육 자료이고 패널 사진은 인터넷에 다수 게시된 사진"이라며 "자료 유출에 따른 영향은 미미하다"며 사건의 파문을 축소했는데요. 이에 해커는 트위터 등에 "원전반대그룹이 공개한 자료가 중요한 게 아니라네요?"(19일), "니들이 유출되어도 괜찮은 자료들이라고 하는데 어디 두고 볼까?"(21일)라며 추가 자료를 공개해 맞불을 놨습니다.

한편 검·경 합동수사단(이하 합수단)은 "원전반대그룹이 국외에 거주하는 것처럼 가장했지만, 19일 오후 사건을 배당받은 뒤 해당 정보들을 블로그와 트위터 등에 올린 IP를 추적해, 지방에서 정보들이 올려진 사실을 확인했다"고 밝혔습니다.

'나 잡아봐라~' 5차 자료 유출

"한수원 사이버 대응훈련 아주 완벽하시네. 우리 자꾸 자극해서 어쩔려고~ㅋㅋ 원전반대그룹에 사죄하면 자료 공개도 검토해 볼게. 사죄할 의향이 있으면 국민들을 위해서라도 우리가 요구한 원전들부터 세우시지(에디터 주: 멈추시지)"

원전반대그룹 트위터, 12월 23일

한수원 내부자료를 해킹해 인터넷에 유출하고 있는 '원전반대그룹'이 지난 23일, 5차 자료 유출을 감행했습니다. 그/그들은 트위터에 한수원을 조롱하며, 부산 고리 1·2호기의 도면 5장, 경북 경주 월성 3·4호기의 도면 10장, 개량형경수로(APWR) 시뮬레이터, 원전 안전해석코드(SPACE)를 캡처한 그림파일 등 19개 자료를 압축 파일형태로 공개했습니다. 해커는 정부가 국가 사이버보안 비상 태세를 선포하고 합동수사단까지 조직한 상황에도 마치 '나 잡아보란 듯이' 활개를 치고 있습니다.

한수원과 산업통상자원부는 원전 제어시스템이 외부와 완전히 차단되어 있기 때문에 원전 안전에는 문제가 없다고 밝혔습니다. 또한, 이전과 마찬가지로 공개된 자료는 원전 제어와 직접적인 관련이 없다고 설명했습니다.

한수원은 내부문서가 인터넷에 공개된 18일부터 비상근무체제에 돌입하고, 22~23일에는 최악의 사이버 공격에 대한 모의 대응훈련을 진행했습니다. 그러나 이러한 노력에도 불구하고 해커가 보란 듯이 한수원을 농락하는 상황이 인터넷에 생중계되고 있는 지금, 원전 안전에 대한 국민의 우려를 불식시키기엔 역부족인 듯합니다.

가상사설망(VPN)으로 IP 세탁? 누구냐, 너

한수원 해킹사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수, 이하 합수단)은 "이 사건은 고도의 전문 지식을 갖춘 해커가 상당 기간 준비해온 것으로 보이며 범인은 단독범이 아니라 여럿으로 이뤄질 그룹일 가능성이 있다"고 22일 밝혔습니다.

해킹 용의자는 가상사설망(VPN)을 이용해 자신의 인터넷 프로토콜(IP)을 세탁한 것으로 알려졌습니다. VPN을 사용하면 별도의 IP를 할당받기 때문에 실제 인터넷 접속장소를 감출 수 있습니다. 합수단은 국내 VPN 서비스 업체 3곳을 압수수색한 결과 용의자가 주로 중국 선양 지역에서 국내 VPN에 접속한 사실을 확인했습니다. 용의자는 타인의 명의를 도용해 2년 전 국내 VPN 서비스에 가입했고, 이용료 또한 명의를 도용한 통장에서 지불했습니다. 범인이 오랫동안 해킹을 준비해왔음을 시사하는 부분입니다.

합수단은 해킹 용의자를 추적하기 위해 미국과 중국에 공조를 요청했습니다. 화춘잉(華春瑩) 중국 외교부 대변인은 이날 "해킹 문제에 대한 각국과의 협력과 공동대응을 희망한다"며 수사 공조 가능성을 내비쳤습니다. 용의자가 미국에 본사를 둔 '트위터'와 '페이스트빈'을 이용해 자료를 유출하고 있으므로, 합수단은 미국 FBI에도 공조 수사를 요청했습니다.

선양에는 북한 정찰총국의 사이버전 핵심 조직인 '조선백설무역회사'와 '인터넷침투연락소' 등이 위치한 만큼, 합수단과 법무부는 이번 해킹과 북한의 연계 가능성을 의심하고 있습니다. 황교안 법무부 장관은 24일 국회 법제사법위원회에 출석해 "북한 소행 가능성도 배제하지 않고 있으며, 그럴 가능성을 갖고 수사하고 있다"고 밝혔습니다. 해커가 15일 블로그, 21일 트위터에 '시치미를 떼다'라는 뜻의 북한 용어인 '아닌 보살'을 언급한 것이 그 의심을 더욱 짙게 합니다. 그러나 범인이 수사 혼선을 빚기 위해 일부러 선양 IP를 우회했을 가능성이 있으므로 북한 소행이라 단정 지을 수는 없는 상황입니다.

성탄절 원전 안전 이상 없음

원전 자료를 인터넷에 유출한 해커가 성탄절을 기점으로 사이버 공격을 위협했지만, 26일 오전 현재까지 원전 사이버 공격을 의심케 하는 특별한 징후는 없었습니다.

원전 자료를 유출한 해커는 지난 19일 "성탄절부터 고리, 월성 원전 일부의 가동을 중단하라"며 '2차 파괴'를 경고했습니다. 한수원은 최악의 사이버 공격에 대응하기 위해 22~23일 모의 훈련을 진행하는 한편, 24일부터 4개 원전본부에 비상 상황반을 설치하고 24시간 비상대기체제에 돌입했습니다.

산업통상자원부도 정부 세종청사에 중앙통제반을 꾸리고 원전본부에 직원을 파견했는데요. 산업부 관계자는 25일 "현재까지 특이동향이나 이상 징후는 없지만, 27일 오전 8시까지 경계 태세를 유지할 것"이라고 밝혔습니다.

청와대는 25일 국내 원자력발전소에 대한 사이버 공격 위협과 관련해 "사이버 공격에 의한 원전 가동 중단이나 위험한 상황이 초래될 가능성은 없는 것으로 평가된다"고 밝혔습니다. "원전의 제어시스템은 외부망과 물리적으로 분리돼 있어 외부 해킹에 의한 접근이 원천적으로 차단돼 있다"며 원전 안전도 강조했습니다.

이날 윤상직 산업통상자원부 장관은 주민 달래기에 나섰습니다. 해커가 "국민 여러분 빨리 원전에서 피하세요"라고 트위터에 남기는 등 주민 불안감을 조성했기 때문인데요. 윤 장관은 25일 부산 기장군 고리원전본부 홍보관에서 주민 대표 7명과 간담회를 했습니다.

한수원 직원에 악성 코드 메일 5980통 발송

지난 9일 한국수력원자력(이하 한수원) 직원들의 계정으로 악성 코드가 첨부된 이메일 5980통이 발송되었다고 28일 정부합동수사단(이하 합수단)이 밝혔습니다.

합수단은 악성 코드를 보낸 사람과 인터넷에 원전 기밀 자료를 공개한 인물이 동일범인 것으로 파악하고 있습니다. 두 용의자의 IP가 비슷하고 둘 다 중국 선양지역에서 접속했기 때문입니다.

악성 코드는 한수원 퇴직자의 계정으로 발송되었습니다. 또한, 받는 사람이 무심코 메일을 열어볼 수 있도록 '자료 배포', '시방서', '견적서' 등의 메일 제목이 달린 것으로 조사됐습니다. 첨부된 악성 코드를 실행하면 ▲개별 파일 파괴 ▲통신량을 늘려 네트워크 공격 ▲지정한 시각에 하드디스크 파괴 기능이 실행됩니다.

그러나 인터넷에 공개된 자료가 이때의 악성 코드 공격으로 유출된 것은 아니라고 합수단은 파악하고 있습니다. 악성 코드에 자료를 빼내는 기능이 없고, 인터넷에 공개된 자료 중 9일 직전 작성된 최신자료는 없었기 때문입니다.

조석 한수원 사장은 9일 이후에도 해커의 공격이 계속되고 있다고 밝혔습니다. 그는 "9일 한수원 직원들이 이메일 해킹 공격을 받은 이후에도 회사 업무망에 침투하려는 시도가 감지되고 있다"며 "하지만 어떤 목적인지, 누구의 소행인지는 구체적으로 파악되지 않고 있다"고 말했습니다. 한수원은 정부와 합동으로 구축한 비상대응체제를 31일 자정까지 유지할 계획입니다.

한수원 해커 IS BACK, "돈 필요하다"

지난 연말 크리스마스에 원전을 공격하겠다며 원전 자료를 인터넷에 유출한 해커가 12일 또다시 원전 자료를 인터넷에 공개하고 금전을 요구했습니다.

'원전반대그룹 회장 미.핵'이라고 주장하는 트위터 사용자는 '대한민국 한수원 경고장'이라는 글을 올리고, ▲박근혜 대통령이 2014년 1월 반기문 유엔 사무총장과 통화한 녹취록 ▲고리 1, 2호기 운전용 도면 ▲사우디에 수출하기로 한 스마트원전 증기발생기 분석자료 ▲실험과정을 담은 동영상 등을 공개했습니다.

그는 "바이러스 7천 여개를 찾았다는 소식을 듣고 저희도 축하 드려요. 나머지 9천 여개는?"이라며 정부합동수사단(이하 합수단)이 찾아내지 못한 바이러스가 있다는 듯이 말했으며, "크리스마스를 무난히 넘긴 것은 국민들의 안전이 소중해서"라고 밝혔습니다.

또한, "돈이 필요하거든요. 요구만 들어주면 되겠는데... 북유럽과 동남아, 남아메리카의 여러 나라들에서 원전자료를 사겠다고 하는데", "몇억달러 아끼려다 더 큰 돈 날려보내지 말고 현명한 판단 하시길 바래요. 요구에 응할 용의가 있으시면 장소와 시간은 너님들이 정하세요."라고 말해, 이전에도 밝힌 금전 요구를 확실히 했습니다.

그는"윤 장관, 시간 좀 주겠으니 잘 생각해보세요. 대통령 보좌를 잘 하셔야하지 않겠나요", "자국 원전은 해킹과 바이러스에 어떻게 될지도 모르는데 열심히 원전수출 하시느라 바쁘시겠네요. 근데 박대통령님, 사우디나 UAE에서 혹시 원전사고가 발생해도 한국이 아니라서 상관없다고 하셨다는데 사실인가요?"라며 윤상직 산업통상부장관과 박근혜 대통령을 조롱하기도 했습니다.

​한수원은 이날 공개된 자료에 대해 "과거 5차례 공개된 일반문서 수준"이라며 지난 자료 유출 때와 비슷한 반응을 보였습니다. 또한, "훨씬 이전에 여러 곳에서 수집한 자료로 추정된다", "과거에 수집한 자료를 가지고 계속 사이버심리전을 펼치고 있는 것으로 판단된다"며 추가적인 사이버 공격이나 자료 유출은 없었다고 밝혔습니다.

범인은 북한에 있어!

17일 개인정보범죄 정부합동수사단(이하 합수단)은 한수원 사이버테러가 북한 해커조직의 소행으로 판단된다고 중간 수사결과를 밝혔습니다.

“국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민의 불안심리를 자극한 사건”, “이번 해킹은 금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단되며, 앞으로 철저히 수사할 방침”

개인정보범죄 정부합동수사단


12월 9일 한수원 이메일 공격 등에 사용된 악성 코드가 북한 해커조직이 사용하는 '킴수키(kimsuky)'와 구성 및 동작 방식이 거의 유사한 것으로 밝혀졌습니다. 악성 코드에 이용된 '한글 프로그램'의 버그가 'kimsuky' 계열이 사용한 버그와 동일하고, 'kimsuky' 계열 악성 코드의 IP 중 일부가 해커가 사용한 중국 선양 IP 대역과 12자리 중 9자리까지 일치한 것으로 조사됐습니다.

​또한, 해커는 IP 추적을 막기 위해 국내 인터넷 가상사설망(VPN) 업체 H사로부터 IP를 따로 할당받아 사용했는데요. 작년 12월 하순께 접속지역이 북한인 IP 25개, 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 5개가 H사가 관리하는 IP에 접속한 흔적이 발견됐습니다.

​해커가 한수원 내부 자료를 탈취한 방법은 '피싱' 수법이었습니다. 해커는 한수원 전·현직 관계자 및 협력사 임직원에게 '비밀번호가 유출됐으니 확인 바란다'는 이메일을 보내 비밀번호 변경 창을 띄우고, 임직원이 비밀번호를 입력하면 이를 빼냈습니다. 범인은 탈취한 비밀번호를 이용해 한수원 관계자들의 이메일 및 커뮤니티 등에 접속해 자료를 얻어냈습니다.

​합수단은 인터넷에 공개된 자료는 원전운용과 관련된 핵심자료가 아니라 교육용 등 일반 문서가 대부분이었다고 밝혔습니다.

한편, 북한 대남기구 조국평화통일위원회(조평통)는 선전매체 우리민족끼리에 '황당한 증거로 가득찬 모략적인 북해킹설'이라는 제목의 글을 게시하고, "괴뢰패당이 아무런 과학적 담보도 없이 미국에 대한 해킹사건과 시기가 비슷하다고 해서 북의 소행이라고 터무니없이 매도하는 것이야말로 초보적인 추리능력, 현실분석능력마저도 없는 무지무능아들의 엉터리 판단"이라고 반박했습니다.

Did you miss me or diss me?

지난해 말 한국수력원자력(이하 한수원)의 원전 설계도 등을 인터넷에 공개했던 ‘원전반대그룹 회장 미핵’이 활동을 재개했습니다. 정보보호의 날인 지난 8일에 이어 13일 오늘도 트위터 계정을 통해 대외비 자료를 공개했습니다.

자신을 ‘원전반대그룹(NNPG) 회장 미핵’이라고 밝힌 유포자는 지난 8일 트위터 계정에 ▲월성 1호기 관련 사진 ▲MCNP5 폴더 ▲Moderator Analysis 폴더 등 30개가 넘는 파일을 인터넷에 유포했습니다. 유포자는 “크리스마스에 원전을 공격하지 않은 것은 보안이 강해서도 아니며 철저한 대응으로 인한 것도 아니다”라며 “이제라도 원전반대그룹과 협상의 길을 선택하는 것이 좋을 것”이라는 협박성 트윗을 함께 남겼습니다. 유포자는 한수원 내부 자료를 인질로 금전을 요구한 바 있습니다.

이에 한수원은 “8일 트위터를 통해 공개된 자료는 협력업체와 공유하는 자료로 과거 6차례 공개된 것과 마찬가지로 보안문서가 아닌 일반문서 수준”이라고 밝혔습니다.

원전반대그룹의 트위터 계정은 9일 정지됐습니다. 그러나 이들은 다시 트위터 계정을 개설하고 13일 ‘원전반대B 그룹의 경고문’이라는 글과 함께 23개의 파일을 공개했습니다. 공개된 파일은 ▲방사성제논 탐지장비 운용 결과 분기 보고서 ▲150402_한울1,2발전소 원자로헤드 검사결과 및 향후계획 [한수원]-1 ▲한빛3발전소 조직표_A4 등 원전 자료 등이며 일부 문서는 국방부 문서로 추정된다고 전해집니다.

유포자는 “한수원 멍청이들이 정보보호의 날 공개된 자료들이 일반문서 수준이라고 하며 동요하거나 불안해하지 않기를 당부드린다고 하며 웃기고 있다”고 비아냥거리며 “우리가 입수한 자료가 중요하다는 것을 인정하지 않으면 한국의 적대국이나 경쟁국들에서 요구하는 값으로 팔아버리겠다”고 협박했습니다.

잊을 만하면 다시 나타나는 ‘원전반대그룹’

원전반대그룹이 트위터 계정을 다시 개설하고, 원전 관련 자료를 인터넷에 공개했습니다. 3일 공개된 자료에는 월성원전 도면, 2015 한수원 발주계획, 육군본부 화생방 정찰장비 운용 교본, 윤병세 외교부 장관이 지난해 7월 존 케리 미 국무장관에 보낸 서신, 방사성 제논 탐지장비 운용 결과 분기보고서, 13년도 을지연습 각본(안)이 포함됐습니다.

트위터 이용자 원전반대C그룹은 3일 새벽 자신의 트위터 계정에 “대한민국 청와대, 국방부, 국정원, 외교통상부, 한수원 등에서 넘겨받은 기밀자료 국제공개 입찰”, “대한민국 청와대는 청개구리집” 등의 글을 연달아 올렸습니다.

그는 “입수한 원전도면 십여만 장과 중요 프로그램들을 되돌려주는 협상을 여러 차례 요구하였으나 청와대 박 대통령은 탄핵이 두려워 움츠리고 있다”며 “이미 북한과 동남아, 아프리카, 남아메리카의 여러 나라들에서 거래 문의가 들어왔다. 거래 합의만 되면 어느 나라든 관계없이 전부 넘겨줄 것”이라고 밝혔습니다.

“입수한 원전데이터에 대해 법률자문을 의뢰한 결과, 원전기술이나 기업비밀이 나가기 때문에 절대로 유출되어서는 안 될 매우 중요한 자료로 판명되었다”고도 주장했습니다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 지난 3월 “한수원 사이버테러가 북한 해커조직의 소행으로 판단된다”는 중간 수사결과를 밝힌 바 있습니다.