위험수준 Class A

한수원 내부전산망 해킹 사건

2015.03.12

Detail prev
Detail line

개요

스스로를 원전반대그룹이라 칭한 해킹그룹이 한수원 내부전산망의 정보를 유출하여 공개하면서 원전 가동 중단을 협박한 사건으로, 원전 가동에 실제 영향을 끼치지는 않았으나 언제든지 공격당할 수 있는 원전 전산망의 취약성 문제가 드러났다.

경과

한수원 내부 정보에 대한 사이버 공격은 "보안뉴스"에서 원자력발전소 등 제어·발전시설의 안전담당자를 대상으로 한 표적 공격이 발생했다는 정보를 입수한 후, 12월 12일에 “원자력발전소 등 타깃 사이버테러 징후 포착”이라는 긴급기사를 게재하면서 처음 알려졌다. 이 기사에서 처음 등장한 해커조직의 이름이 ‘Who Am I’였고, 해커 그룹이 미리 확보한 퇴직자 명의의 이메일을 통해 악성코드를 발송하여 직원들의 PC를 감염시킴으로써 추가 피해가 우려된다고 경고했다. "보안뉴스"에서 피해현황에 대한 추가 취재에 들어갔으나, 당시 한수원 측은 “이메일을 통해 들어온 악성코드는 관계기관에 의해 9일 최초 발견됐으며, 내부적으로는 피해가 거의 없다”고 언급했다.

하지만 12월 15일에 다시 알 수 없는 이름으로 한수원 직원 주소록과 제어프로그램 설명서, 아랍에미리트 왕세자에게 보낸 친서 등의 첨부화일이 포함된 제보 이메일이 "보안뉴스"에 전송되었고, 이것이 12월 17일 보도되면서 원전반대그룹에 의한 한수원 내부정보 해킹 사건으로 확대되었다. 한수원 직원 전체 10,779명의 명단이 외부로 유출되었을 뿐 아니라, 2차 피해의 가능성까지 우려되면서 수사당국의 수사가 시작되었다.

원전반대그룹은 직접 트위터를 통해 유출자료를 연이어 추가 공개했고, 12월 19일에 공개한 자료에는 고리 1호기 설계도면과 부품 스펙 및 매뉴얼, 한수원 자체 비밀세부분류지침 등이 포함되었다. 12월 21일에는 월성 1호기와 고리 2호기의 설계도 및 매뉴얼 등을 공개했고, 청와대를 비난하고 고리1호기, 3호기, 월성1호기의 가동을 중단하지 않을 경우 크리스마스를 기해 공격하겠다는 메시지를 남겼다. 12월 23일에는 안전해석코드 프로그램을 공개하면서 국민들에게 원전 사고에 대비시킬 것을 주문했다. 안전해석코드는 한수원이 국산화한 핵심 기술 중 하나로 알려졌다.

원전반대그룹이 공격을 예고한 크리스마스 휴일과 12월 27일의 ‘원자력의 날’까지 한수원과 관련 기관들은 비상대응태세를 취했고, 더 이상의 자료 공개나 추가 공격은 발생하지 않았다. 12월 28일, 한수원의 조석 사장은 기자회견을 열고 해킹 사건과 한수원의 미흡한 대응에 대해 공식 사과하면서, 원전 20기는 안전하게 가동되고 있다고 밝혔다.

수사당국은 일련의 해킹 사건은 이메일 수신자의 비밀번호를 빼가는 ‘피싱’ 기능과 감염된 컴퓨터에 저장된 자료를 원격으로 빼내는 기능을 갖는 악성코드를 한수원 퇴직자들의 이메일을 통해 감염시키면서 시작되었고, 원전반대그룹의 IP 추적 결과 북한 해커조직이 많이 활동하는 중국 선양이 주 근거지로 나왔다는 것 등을 알아냈다고 발표하긴 했으나, 원전반대그룹의 실체는 더 이상 밝혀지지 않았다.

그 이후 2015년 3월 12일, 약 80여일이 지난 후에 해커는 다시 한 번 동일한 트위터 계정을 통해 1) 2014년 1월에 있었던 박근혜 대통령과 반기문 유엔사무총장과의 통화 요록, 2) 수십 장의 도면이 겹쳐진 그림, 3) 2015년 3월 4일에 발표된 사우디 아라비아에 수출될 것으로 보이는 중소형 원자로인 SMART 원자로 관련된 자료, 4) 안전해석코드 인터페이스 RETAS-WB 관련 화면, 5) 중수 누출 감지 프로그램, 6) 한국 신형 원자로인 APR1400 관련 문서, 7) 한국 첫번째 표준형 원전인 OPR1000의 전산코드인 RELAP-5관련 파일들, 8) 한국원자력연구원(KAERI)가 개발한 안전해석코드 MARS관련 파일과 마지막으로 9) 내용을 알기 힘든 동영상을 공개했다.

이번에는 자료공개와 함께 현재까지 한수원과 합동수사단이 찾은 7천개 바이러스 이외에 9천개가 더 있다고 알리고 가지고 있는 자료를 여러 나라에서 사려고 하고 있으니 큰 손해를 보고 싶지 않으면 몇 억 달러를 아끼지 말고 자신들에게 돈을 지불하라는 협박까지 들고 나왔다.

의미와 과제

한수원의 전산보안망 방비의 허술함은 그 전부터 여러 차례 지적된 문제다. 외부에서의 공격에 대한 취약성뿐 아니라 방사능 폐기물 관리 비밀번호를 용역업체 직원들과 공유하는 등 내부 관리도 안일함이 폭로된 바 있기 때문이다. 2013년 4월 한수원 내부전산망과 외부 인터넷망을 분리했음에도 해킹 사건이 일어남에 따라 망 분리만이 해결책이 될 수 없음도 드러났다. 때문에 보다 치밀한 전산망 보안 시스템의 구축뿐 아니라 유사시의 수동 제어시스템 구동 방안과 대비 태세의 필요성도 제기되었다. 사건의 대응 과정에서 다시 나타난 한수원의 비밀주의도 해결해야 할 문제다. 마지막으로 이미 수개월이 지났음에도 불구하고 여전히 시민들의 안전을 위협하는 해커에 대한 수사가 미진하고 원전 관련 주요 정보들이 지속적으로 공개되고 있는 것은 심각한 문제이다.

<참고자료>

YTN, 한수원 해커 활동재개… “돈 필요하다”, 2015.03.12
http://www.ytn.co.kr/_ln/0102_201503121558304684

연합뉴스, 석달만에 재등장한 한수원 해커…원전자료 공개에 또 속수무책, 2015.03.12
http://www.yonhapnews.co.kr/bulletin/2015/03/12/0200000000AKR20150312170100003.HTML?input=1195m

경향신문, [속보] 원전 해커 활동 재개 “돈이 필요하다”, 2015.03.12
http://bizn.khan.co.kr/khan_art_view.html?artid=201503121542411&code=920100&med=khan

한국일보, 원전 도면 유출, 한수원 협력사 이메일 해킹돼 발생, 2015.1.21.
http://www.hankookilbo.com/v/c4591f9c50e44955ad7bec90a97bd711

보안뉴스, 한수원 해킹 사태! 최초 보도 이후 보름여의 기록들, 2014.12.28.
http://www.boannews.com/media/view.asp?idx=44886&kind=1

JTBC, 원전반대그룹, 한수원 문건 5번째 공개…조롱글까지,2014. 12.24.
http://news.jtbc.joins.com/article/article.aspx?news_id=NB10694103

보안뉴스, 원자력발전소 등 타깃 사이버테러 징후 포착, 2014.12.12.
http://www.boannews.com/media/view.asp?idx=44608

관련이미지

Gp 0314 fb 02 1 Gp 0314 fb 03 1 Gp 0314 fb 04 1 Gp 0314 fb 05 1 Gp 0314 fb 06 1