주간동아 969

..

한수원 ‘해킹 동네북’ 5년간 1843번

망 분리 맹신 보안 조치 허술…의식도 낙제점

  • 권건호 전자신문 기자 wingh1@etnews.com

    입력2014-12-29 10:27:00

  • 글자크기 설정 닫기
    한수원 ‘해킹 동네북’ 5년간 1843번

    경북 경주시 한국수력원자력 월성원자력발전소 관계자들이 2014년 12월 22일 ‘원전 사이버 공격 대비 모의훈련’을 하고 있다.

    한국수력원자력(한수원)을 해킹했다고 주장하는 ‘원전반대그룹’은 정부와 한수원을 비웃듯 내부 자료와 원자력발전소(원전) 도면 등 대외비 자료를 5차례에 걸쳐 공개했다. 아직 해킹범 정체가 밝혀지진 않았지만, 북한과 관련 깊은 것으로 예상된다. 이들이 접속한 위치와 사용한 악성코드 등에서 북한과의 연관성이 나타났기 때문이다. 국내 혼란을 노린 북한의 해킹이라는 분석에 힘이 실린다.

    하지만 의도적으로 해킹한 이들을 탓하기에 앞서 한수원의 허술한 보안 수준도 문제다. 원전을 운영하는 내부망이 외부 인터넷망과 분리됐다는 것만 믿고 구형 운영체제(OS)를 사용하는 등 보안 대비가 취약했다. 이번 사태가 원전 보안을 한층 강화하는 계기가 돼야 한다는 지적이다.

    이번에도 북한 소행?

    한수원 내부 자료 유출 사건을 수사하는 개인정보범죄 정부합동수사단(단장 이정수 부장검사·합수단)은 범인이 이용한 가상사설망(VPN) 업체 3곳에서 확보한 자료를 분석한 결과 범인으로 보이는 인물이 중국 선양의 인터넷프로토콜(IP)을 집중 사용했다고 밝혔다.

    VPN은 인터넷망을 전용선처럼 사용할 수 있게 특수 통신체계와 암호화기법을 제공하는 서비스다. 범인 추정 인물은 VPN 서비스업체를 통해 IP를 할당받아 유출 자료가 담긴 글을 게시했다. VPN 서비스를 이용할 때 사용한 개인정보는 도용된 것으로 보인다.



    합수단은 범인 추정 인물이 할당받은 IP 중 20∼30개가 중국에서 접속됐고, 200여 차례 접속 중 거의 전부가 중국 선양에서 이뤄졌다고 설명했다. 선양은 북한 영사관이 있는 곳으로 단둥, 다롄과 함께 북한 정찰총국 해커들이 집중적으로 활동하는 도시 중 하나로 알려졌다.

    하지만 정부는 범인이 북한이라고 단정하는 것에 조심스러운 입장을 표명했다. 합수단 관계자는 “중국 IP가 최종 종착지가 아니고 다른 VPN으로 우회해 접속했을 가능성도 있다”며 “북한과 연결된다는 증거가 현재로선 없다”고 말했다.

    북한과의 연계성은 IP만이 아니다. 자료 유출에 사용한 것으로 보이는 해킹 수법도 북한이 이전에 사용한 수법과 유사하다. 특히 최근 미국 영화사 소니픽처스 엔터테인먼트 해킹에 사용했던 ‘지능형 지속 위협(APT)’인 것으로 분석된다.

    전문가들은 이번 해킹이 e메일을 통해 표적 공격을 했다는 점에서 APT 방식 가운데 하나인 스피어피싱으로 보고 있다. 스피어피싱은 작살로 고기를 잡는 것처럼 특정 대상을 공격하는 방식이다. 주로 지인이나 회사에서 발송한 것처럼 위장한 e메일을 보내고, 상대방이 첨부파일을 클릭하면 악성코드를 심는다. 네트워크에 침투하는 기존 해킹 방식과 달라 방어가 어려운 것이 특징이다.

    한수원 측이 이미 12월 초부터 APT 공격 징후를 포착했기 때문에 해커들은 최근까지 계속 공격 e메일을 보낸 것으로 추정된다. 결국 일부 직원이 첨부파일을 열어봤고, 이 과정에서 악성코드에 감염된 것으로 보인다.

    음식배달원 보안 구역 수시 출입

    해킹 사태를 초래한 데는 한수원의 허술한 보안 수준 및 의식이 크게 작용했다. 한수원은 지난 5년간 해킹 공격을 1843번 받았지만, 보안 의식은 허술한 것으로 드러났다. 이번에 자료가 유출됐을 때는 해킹인지 내부자가 유출한 것인지조차 알지 못했다. 어떤 자료가 얼마나 유출됐는지도 모른 채 중요한 자료가 아니라는 변명만 했다. 자료 유출범은 한수원의 발표를 조롱하듯 단계적으로 중요 자료를 공개했다. 5차 공개 때는 “한수원 사이버 대응훈련 아주 완벽하시네”라며 비꼬기도 했다. 현재도 한수원 내부 자료가 어디까지 유출됐는지, 내부망이 감염됐는지 여부는 확인되지 않고 있다.

    한수원이 무수히 해킹 공격을 받은 것처럼 해외에서도 원자력시설을 겨냥한 사이버테러는 많이 발생했다. 2010년 이란 원자력시설을 파괴한 스턱스넷처럼 심각한 피해 사례도 있었다. 이 때문에 국정감사 등에서 원전 보안을 강화해야 한다는 지적이 이어졌지만 한수원의 대응은 안일했다.

    한수원은 내부 업무망과 원전 제어망은 인터넷으로부터 망 분리해 해킹 등 사이버공격으로부터 안전하다는 입장이다. 그러나 보안업계는 망 분리를 맹신해선 안 된다고 지적한다. 실제로 해외에서는 망 분리를 우회하는 기술 개발도 활발하다. 보안 분야 한 교수는 “이란과 일본의 경우를 보면 원전 제어 시스템이 외부와 분리된 상황에서도 사이버테러가 일어났다”며 “망 분리를 무조건 믿지 말고 적절한 보안 조치를 갖춰야 한다”고 지적했다.

    실제로 한수원은 망 분리를 맹신한 나머지 보안 조치를 제대로 하지 않았다. 국내 원전시설 상당수가 보안패치 서비스 시효가 끝난 OS인 윈도XP, 윈도ME, 윈도2000 등을 사용한다. 이들 OS의 보안 취약점을 노린 USB 메모리 등 외부저장매체의 자동 실행 기능을 사용하면 감염된 USB 메모리를 연결하는 순간 내부망이 감염될 수 있다.

    직원들의 보안 의식도 심각한 수준으로, 민간기업보다 낮은 것으로 평가된다. 2014년 11월 산업통상자원부(산업부)가 발표한 보안감사 결과, 한빛원전과 고리원전 직원 19명의 인터넷 ID와 비밀번호가 용역업체에 유출된 것으로 드러났다. 음식배달원이 직원 안내 없이 보안 구역을 수시로 출입하는가 하면, 협력업체 직원은 미승인 보조기억장치(USB 메모리)에 업무자료를 저장하고 다녔다.

    발전소 운전지원용으로 설치한 관제시스템(CCTV)도 설치근거 없이 발전소마다 독자적으로 운영했으며, 시설 점검 주기를 6개월로 설정해 실효성이 떨어지는 것으로 지적받았다.

    이번 해킹 사건을 계기로 원전에 대한 보안 수준을 한층 강화해야 한다는 지적이 잇따른다. 새누리당 서상기 의원은 “국가안보와 국민 안전에 심대한 영향을 끼치는 1급 보안시설이 테러집단의 손안에서 놀아나고 있지만 누가, 어디에서, 어떻게 공격했는지조차 파악하지 못하고 있다”며 “새로운 테러의 장이 돼버린 사이버 공간을 방어하기 위해 국가 차원의 단일화된 컨트롤타워 구축이 시급하다”고 말했다. 그는 또 “국회에 발의된 국가사이버테러방지법을 서둘러 처리해야 한다”고 덧붙였다.



    댓글 0
    닫기