↑ 한국수력원자력의 원자력발전소 도면과 매뉴얼 등 내부문서가 인터넷에 또 공개된 지난 21일 오후 서울 강남구 영동대로 한수원 본사 로비로 직원들이 오가고 있다. / 사진=뉴스1일단 원자력발전소 제어시스템은 물리적으로 외부와 차단된 만큼 원전시설에 대한 직접적인 타격은 극히 어려울 것으로 전문가들은 분석하고 있다. 그러나 인터넷과 연결된 내부 업무시스템에 대한 공격 가능성은 과거 '3.20 대란'때와 마찬가지로 얼마든지 있을 수 있다는 진단이다. 당시 방송사, 금융사 등 내부 업무시스템에 침투한 악성코드가 사내 PC들을 망가뜨리면서 방송 송출이나 인터넷 뱅킹 시스템 업무에 차질을 빚은 바 있다.
그러나 보안 전문가들은 9일 유포된 악성코드 이전에 아직 공개되지 않은 취약점을 악용한 또다른 악성코드가 한수원 내부망에 침투해 있을 가능성에 무게를 두고 있다. 당시 발견된 악성코드는 다음날인 10일 오전 11시 하드디스크 파괴 기능이 동작하도록 미리 설계돼 있었다는 것. 따라서 내부자 유출이 아닌 사이버 해킹을 통해 한수원 내부 자료를 유출했다면 이미 그 이전에 또다른 악성코드 공격이 이루어졌을 가능성도 공존하고 있다는 얘기다.
이를 감안하면 특정 일·특정 시간에 하드디스크 파괴공격을 감행할 악성코드가 추가적으로 한수원 내부에 침투해 있을 가능성이 있다는 얘기다.
관건은 물리적 시간이다. 해커그룹은 크리스마스 당일인 25일 추가 파괴공격을 예고했다. 현재 한수원 내부에 사용되는 PC는 5000대가 넘는 것으로 추정되는데, 만약 추가공격을 완벽히 차단하기 위해서는 전수 검사가 필요하다는 지적이다.
이 시각 인기 뉴스
지난 6월부터 발견된 악성코드들이 최신 '안티포렌식(디지털추적방지기술)' 기법을 적용돼 있어, 이를 일일이 찾아내기가 까다롭기 때문이다.
최상명 하우리 보안연구센터 팀장은 "평소에는 정상파일로 위장돼 있다가 악성기능을 수행할 때만 암호가 풀려 PC 메모리에서 악성기능을 수행한 뒤 임무가 끝나면 또다시 정상파일로 되돌리는 수법이 최근 비슷한 공격의 유형에서 발견됐다"며 "보안 분석가들이 일일이 PC마다 전수검사를 하지 않으면 탐지 자체가 어렵다"고 지적했다. 안티바이러스 등 기존 보안 프로그램의 패턴 검색방식으로는 걸러낼 수 없다는 얘기다.
이번 범죄에 사용된 악성코드를 제작한 해커가 과거 MS-DoS 시절부터 프로그램 언어에 능통한 인물일 것으로 추정되고 있다. 최 팀장은 "과거 3.20 사태와 달리, 하드디스크 파괴명령 실행되면 PC 모니터에 빨간 글씨로 'Who Am I'로 표기되는데 윈도 시절 이전에 어셈블리 언어나 바이오스(BIOS)에 대한 전문 지식이 있어야지만 가능한 수법"이라고 지적했다. 적어도 15년 전부터 IT기술에 해박한 전문가가 포함돼 있다는 얘기다.
한편 한수원 자료 유출사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 부장검사)는 22일 한수원 내부 자료를 빼돌린 해커가 국내 가상사설망(VPN) 등을 이용해 IP(접속지)주소와 국내 포털 아이디(ID) 등을 세탁한 것으로 확인됐다고 밝혔다.
VPN 서비스를 활용한 IP주소 세탁은 흔한 해킹수법 중 하나다. 해킹사고 발생 시 수사기관들이 우선 확인하는 것이 IP주소다. VPN을 이용하면 이같은 추적을 쉽게 따돌릴 수 있다. 네이버나 네이트 등 도용된 국내 포털 계정을 구하는 것도 그다지 어렵지 않다.
하지만 보안 전문가들이 주시하는 것은 해커그룹이 악성코드 해킹→자료유출→유출 내부정보 공개→요구조건 제시 등 사이버 하이재킹 전 과정을 사전에 주도면밀하게 준비했다는 점이다. 보안업계의 한 관계자는 "사전에 오랫동안 치밀하게 계획을 수립하지 않으면 어려운 공격기법"이라며 "특히 유출 자료를 한꺼번에 공개하지 않고 요구조건을 내세우는 심리전까지 벌이고 있다는 점에서 사회 혼란을 노린 뒤 또 다른 타깃을 공격하기 위한 가능성도 배제해선 안된다"고 지적했다.
