트렌드

한수원 해커가 예고한 ‘성탄절 공격’ 가능할까

2014.12.24

12월25일이 다가온다. 한국수력원자력(한수원)을 해킹했다고 주장한 ‘원전반대그룹(Who Am I)’이 데드라인으로 꼽은 날이다.

5차례에 걸쳐 한수원 임직원 개인정보와 원자력발전소(원전) 관련 정보를 인터넷에 뿌린 원전반대그룹은 12월25일까지 고리 1·3호기와 월성 2호기 가동 중단하라고 요구했다. 이에 응하지 않으면 “자료 전부를 공개하고 2차 파괴를 실행할 수 밖에”라며 공격을 예고했다. 첫번째 공격은 한수원 사내 업무용 인터넷 PC에 침투한 12월9일을 뜻한다.

해커가 예고한 대로 원자력발전소를 공격할 수 있을까. 지금까지 나온 증거로는 실제 공격까지 벌이기는 어려워 보인다.

트로이목마로 인터넷PC에 접근, 내부망 뚫었는지는 미지수

한수원을 공격하는데 쓰인 수법은 전형적인 ‘트로이 목마’ 공격이었다.

해커는 ‘제어 프로그램.hwp’라는 이름으로 아래아한글 문서 파일을 e메일에 첨부해 한수원 임직원에게 보냈다. e메일은 받은 직원이 첨부파일을 열면 악성코드가 컴퓨터에 깔리며 컴퓨터가 재부팅됐다.

악성코드는 컴퓨터를 처음 가동할 때 필요한 데이터를 저장하는 ‘마스터부트레코드(MBR)’를 파괴해 컴퓨터가 제대로 켜지지 못하도록 했다. 윈도우 바탕화면 대신 컴퓨터 화면에는 ‘Who Am I?’라는 영문 메시지만 떴다. 그동안 악성코드는 하드디스크 안에 있는 자료를 외부로 빼돌리고 하드디스크 안에 있는 doc, pdf, exe 등 주요 파일을 훼손했다. 사실상 컴퓨터를 쓸모 없게 만드는 셈이다. 안랩 분석 결과에 따르면 이 악성코드는 12월10일 오전 11시가 넘으면 MBR을 파괴하도록 만들어졌다.

한국수력원자력에서 발견된 악성코드 화면 (출처 : 안랩 ASEC 블로그)

▲한국수력원자력에서 발견된 악성코드 화면 (출처 : 안랩 ASEC 블로그)

안랩이 12월9일 한수원에서 악성코드 샘플을 넘겨받아 바이러스 백신을 만들어 보냈지만, 이미 정보 유출은 일어난 것으로 보인다.

해커는 15일 한수원 직원 개인정보 1만여건과 박근혜 대통령이 아랍에미리트(UAE) 왕세제에게 보낸 친서를 공개했다. 한수원은 유출된 직원 개인정보가 “사외 인터넷망 임직원용 서비스 자료로 추정된다”라며 “사내 업무망과 사외 인터넷망을 완전하게 분리해 운영 중”이기 때문에 중요한 업무 자료는 유출되지 않았다고 18일 설명했다.

해커는 한수원을 비웃듯 18일과 19일 원자력 발전소 설계 도면과 내부 문서 등을 까발렸다. 한수원은 유출된 자료가 “핵심기술이 아닌 일반적 기술 자료”라며 “원전 안전에 미치는 영향은 없다”라며 여론을 안심시켰다. 하지만 해커는 21일도 내부 문서를 공개했다.

한수원은 22일과 23일 이틀 동안 4개 원전본부에서 ‘사이버공격 대비 모의훈련’을 실시했다. 사이버공격을 받아 원전이 이상사태에 빠질 경우 적절하게 대비할 수 있도록 미리 연습한 것이다. ‘원전반대그룹 회장 미 핵’이라는 트위터 사용자는 이런 조치를 비웃으며 22일과 23일 추가로 자료를 공개했다.
KHNP_whoami_Twitter_blackmail

한수원은 지금까지 유출된 자료가 모두 원전 안전에 영향을 미치지 않는 일반적인 수준의 기술자료라고 설명했다. 23일 해커가 갈무리 화면을 공개한 프로그램 2종도 더이상 쓰지 않는 원전 안정성 분석과 모의 훈련에 쓰이는 교육용 프로그램이라 문제가 없다고 해명했다. 해커가 내부망에 접속한 흔적도 찾지 못했다고 밝혔다.

“업무망 접속해도 원전은 못 건드려”

해커가 한수원 업무망에 접속하는데 성공했더라도 원자력 발전소를 직접 공격하기는 힘들다. 업무망과 원전 제어 시스템이 서로 독립돼 있기 때문이다.

한수원은 24일 해명자료를 통해 외부 인터넷에 연결된 컴퓨터와 업무용 네트워크, 원전 제어 시스템이 “완전히 분리돼 폐쇄적으로 운영되고 있다”라며 “사이버공격으로부터 발전소는 안전하다”라고 자신했다.

한국수력원자력이 밝힌 네트워크 구성도 (출처 : 한수원 보도자료)

▲한국수력원자력이 밝힌 네트워크 구성도 (출처 : 한수원 보도자료)

폐쇄망도 100% 안전하지는 않아…”만약의 사태에도 대비 중”

물론 외부 네트워크와 차단된 폐쇄망이라도 100% 안전한 것은 아니다. USB 메모리 등 다른 방식을 이용해 악성코드가 설치될 수도 있기 때문이다. USB 메모리를 통해 컴퓨터에 감염되는 악성코드 ‘스턱스넷(Stuxnet)’은 2010년 이란 원전 내부망에 침투해 1000대에 이르는 원심분리기를 고장낸 바 있다.

한수원도 만약에 사태에 대비하고 있다. 서울 삼성동 본사 종합상황실에 비상상황반을 꾸리고 24시간 비상근무 태세에 들어갔다. 비상상황반은 24시간동안 철야로 고리, 월성, 한빛, 한울 등 4개 본부 소속 23개 원전 상황을 감시한다. 또 사이버보안 담당팀 역시 비상근무 중이다. 각 발전소도 비상상황반을 꾸려 시설을 확인하고 이상 징후를 즉각 보고할 준비를 마쳤다고 한수원 관계자는 밝혔다.

‘원전 반대’ 목소리 내려는 시위성 해킹일지도

이번 한수원 해킹이 원전을 직접 공격하려는 것이 아니라는 분석도 나온다. 원전을 파괴하는 것이 목적이었다면 지금처럼 정보를 조금씩 흘려보낼 게 아니라 아무도 눈치채지 못했을 때 공격하는 편이 훨씬 효과적이기 때문이다. 스턱스넷이 그 예다. 이란이 스턱스넷을 발견하고 조치를 마치기까지 6개월이 넘는 기간이 걸렸다.

김승주 고려대학교 정보보호대학원 교수는 한수원 해킹이 “국민의 불안감을 조성해 정부의 무능함을 보여주는 것이 목적인 것 같다”라고 풀이했다. 김승주 교수는 해커 집단이 “원전반대라는 이슈를 전국적으로 부각시키는데 성공했으며, 원전은 해킹에 의해서도 공격받을 수 있는 위험한 시설이라는 사실을 인식시켰다”라고 말했다.

nuribit@bloter.net

기술의 중심에서 사람을 봅니다. 쉽고 친절하게 쓰겠습니다. e메일 nuribit@bloter.net / 트위터 @nuri_bit / 페이스북 facebook.com/nuribit0