2024-03-29 00:45 (금)
합수단, 한수원 중간 수사결과 상세 내용…”북한 소행으로 판단”
상태바
합수단, 한수원 중간 수사결과 상세 내용…”북한 소행으로 판단”
  • 길민권
  • 승인 2015.03.17 16:50
이 기사를 공유합니다

“북한 해커들이 사용하는 ‘kimsuky' 악성코드와 동작방식 동일해”
한국수력원자력(이하 한수원) 사건에 대한 개인정보범죄 정부합동수사단의 중간 수사결과 발표가 17일 있었다. 한수원 사건은 지난해 12월 15일부터 올해 3월 12일까지 자신을 원전반대그룹 회장 ‘미핵’이라고 주장하며 총 6회에 걸쳐 원전 관련 자료를 사이버상에 공개하며 원전중단을 요구하며 협박한 사건이다.
 
개인정보범죄 정부합동수사단(이하 ‘합수단) 수사결과 발표 내용은 다음과 같다.
지난해 12월 15일부터 올해 3월 12일까지 총 6회에 걸쳐 한수원 관련 자료를 공개하며 원전중단을 협박한 사건에 대해 수사한 결과, 협박 직전인 12월 9일~12일 한수원 직원 3,571명에게 5,986통의 악성코드(파괴형) 이메일을 발송해 PC 디스크 등을 파괴하려 시도했지만 PC 8대만 감염되고 그 중 5대의 하드디스크가 초기화되는 정도에 그쳐 원전 운용이나 안전에는 이상이 없었다.
 
범인은 이메일에 피싱(phishing) 메일을 보내 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 자료들을 수집하는 등 범행을 사전에 준비했으며 한수원에 대한 이메일 공격이 사실상 실패로 돌아가자, 해킹 등으로 취득한 한수원 자료 등을 공개하며 협박에 이른 것으로 판단되고, 관련해 범인은 거의 대부분 중국 선양 IP를 통해 국내 (주)H사 VPN 업체 IP로 접속했다고 전했다.
 
합수단에서 범행에 사용된 악성코드와 인터넷 접속 IP 등을 분석한 결과, 이메일 공격에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드와 그 구성 및 동작방식이 거의 같고, 악성코드에 이용된 ‘한글 프로그램’ 취약점이 ‘kimsuky' 계열 악성코드에 이용된 버그와 동일하다.
 
또 ‘kimsuky’ 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역들과 12자리 중 9자리까지 일치하고, 범인이 자료 탈취/이메일 공격/협박글 게시 루트로 도용한 국내 (주)H사 VPN 업체와 관련, 회사가 관리하는 다른 접속 IP 중에서, 지난해 12월 하순 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견되었다.
 
이에 합수단은 “범행은 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박을 해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건”이라며 “사건 정황을 종합하면, 금전보다는 사회적 혼란 야기가 주목적인 북한 해커조직의 소행으로 판단된다. 검찰은 향후 철저히 수사를 계속해 나가겠다”고 전했다.

 
합수단의 한수원 사건 중간 수사결과를 좀더 상세히 전한다.
 
◇한수원에 대한 이메일 공격(2014. 12. 9~12. 12)
지난해 12월 9일경 발송인 211명 이메일 계정으로부터 한수원 직원 3,571명을 수신인으로 해 악성코드가 첨부된 이메일 총 5,986통이 발송되었다. 9일 5,980건, 10일 3건, 11일 1건, 12일 2건이 발송됐다.
 
공격 이메일에 첨부된 한글(hwp) 파일을 실행하면 악성코드가 실행되어, 파일실행 장애, 하드디스크 초기화, 네트워크 장애유발 등의 문제가 발생하며 해당 악성코드에 “자료유출 기능”은 없는 것으로 확인되었다.
 
한수원 측은 12월 9일 이메일 공격 직후 신속히 이메일 수신을 차단하고, 수신된 악성이메일을 거의 모두 삭제했다.
 
◇한수원 자료공개 및 협박(2014. 12. 15~3. 12)
범죄자들은 총 6차에 걸쳐 한수원 자료공개 및 협박을 했다.
1차는 12월 15일경 네이버에 ‘우리는 원전반대그룹! 끝나지 않은 싸움’이라는 글을 게시하면서 한수원 임직원 주소록 파일 등을 공개했다.
 
이후 12월 18에 2차, 19일에 3차, 21일에 4차, 23일에 5차에 걸쳐 트위터 등에 ‘크리스마스 때까지 원전 가동을 중지하고 100억 달러를 주지 않으면 보유한 원전 자료를 계속 공개하겠다’는 취지의 글을 게시했다.
 
올해 3월 12일 경 6차에는 트위터에 ‘돈이 필요하다’는 글과 함께 한수원의 원전 도면 등을 재차 게시했다.
 
1차~5차 협박글 게시는 중국 선양 IP 대역(175.167.xxx.xxx, 175.167.xxx.xxx, 175.167.xxx.xxx, 175.167.xxx.xxx)을 이용해 접속했으며, 6차 협박글 게시는 러시아 블라디보스토크 IP를 이용해 접속했는데 6차 게시에 사용된 트위터 계정(john_kdfifj1029)이 종전 협박글 게시에 사용된 계정과 동일하다.
 
◇개인정보범죄 정부합동수사단의 수사착수(2014. 12. 19)
합수단은 한수원의 수사의뢰 직후 즉시 수사에 착수했다. 한수원은 지난해 12월 19일 임직원 주소록 개인정보파일 유출, 원전자료 유출 및 원전중단 협박사건을 합수단에 수사의뢰 했고 합수단은 즉시 수사에 착수했다. 
 
합수단은 국가정보원, 대검 과학수사부 국제협력단, 경찰청 사이버안전국, 방송통신위원회, 한국인터넷진흥원, 안랩(AhnLab) 등과 공조해 수사를 진행했다.
 
경유지 IP 서버 소재지 국가들(미국, 중국, 일본, 태국, 네덜란드 등)과도 국제수사공조를 통해 범인추적에 나섰다.  
 
◇한수원 자료의 내용 및 유출경로
총 6회에 걸쳐 94개 파일(빈 파일 제외)이 공개됐다. 총 6차에 걸쳐 한수원 임직원 주소록, 전화번호부, 원전관련 도면 등 파일 94개가 공개된 것이다. 공개된 자료는 한수원 자체점검 결과, 원전운용과 관련한 핵심자료가 아니며 교육용 등 일반문서가 대부분이었다. 원전관리에 위험을 초래하거나 원전수출 등 국가적 원전정책에 영향을 미칠 수 있는 중요정보의 유출은 없다는 점검결과가 나왔다.
 
한수원 자료 유출경로에 대해 검찰은 유출자료 상당 부분은 협력업체 직원 이메일 등을 통해 유출된 것으로 확인됐다. 지난해 12월 공개된 파일들에 대해서는 유출경로가 대부분 확인되었으며 한수원 내부망에서 직접 유출된 것이 아니라 협력업체 직원 등을 통해 유출됐고 한수원 관계자 이메일에 보관되어 있던 자료들이 유출된 것으로 확인됐다고 전했다.
 
◇w1_10_1000_50×22.jpg 파일 등의 유출경로
해당 파일들은 한수원 협력업체 A사 조모 대표의  PC에 저장되어 있던 파일로 확인됐으며 조 대표는 지난해 7월경 악성 코드가 포함된 한글 문서가 첨부된 이메일을 수신했다. 조 대표의 PC에 원격제어 악성프로그램이 설치되어 PC 내 정보가 유출되었다.
 
조 대표에게 발송되어 온 이메일은 12월 협박글 게시에 이용된 것과 동일한 중국 선양 IP에서 발송되었으며 협박글을 게시하는데 사용한 것과 동일한 국내 VPN IP를 통해 PC에 있던 정보가 유출된 것으로 조사됐다.
 
◇DRAWING_WOLSONG34.zip 파일 등의 유출경로
협력업체 A사 배 모 부장의 PC에 저장되어 있던 자료가 유출된 것으로 추정하고 있다. A사 임직원들의 이메일은 중국 선양 등에서 발송된 피싱 메일에 의해 이메일 비밀번호가 노출된 상태였다.
 
◇K-DOSE 60 Ver. 2.1.2.jpg 파일 등의 유출경로
한수원 협력업체 B사 김 모 대표의 PC 및 이메일이 해킹되어 유출된 것으로 추정된다.
 
한편 한수원 퇴직자 등에게 ‘피싱(phishing)' 메일을 보내 이메일 비밀번호 수집도 있었다.
지난해 9월경까지 한수원 퇴직자 36명에게 이메일 비밀번호를 수집하기 위한 ‘피싱(phishing)’ 메일 88건이 발송되었다. “비밀번호가 유출되었으니 확인 바란다”는 등의 미끼성 이메일을 전송하고,메일 클릭시 비밀번호 변경창이 뜨도록 해 비밀번호를 입력하도록 유도한 것이다.
 
피싱메일 발송자와 12월경 협박글 게시자는 동일인으로 추정하고 있으며 피싱메일 발송 IP 주소가 12월경 협박글 게시에 사용된 중국 선양 IP 주소와 12자리 중 9자리가 동일하고, 탈취되는 정보가 전달되는 국내 호스팅 업체 서버도 동일한 것으로 조사됐다.
 
공격자는 유출된 비밀번호로 임직원 이메일 계정과 커뮤니티에 있는 정보를 수집했다.
 
◇KHNP+주소록.xlsx 파일의 유출경로
지난해 8월경 ‘한수원 임직원 커뮤니티 사이트’에 중국 선양 IP에서 한수원 퇴직자 박 모씨의 계정으로 무단접속해 커뮤니티에 있던 임직원 주소록이 유출됐다. 본사전화번호부.pdf, 한수원2직급.pdf 파일의 유출은 한수원 직원 하 모씨의 이메일 내에 있던 정보가 유출된 것으로 추정하고 있다.
 
공개된 자료들은 지난해 12월경 한수원에 대한 악성 이메일 공격으로 내부망에서 직접 유출된 것이 아니라, 피싱메일을 통해 한수원 관계자들의 이메일 비밀번호를 수집한 후 그 이메일 계정에서 수개월간 수집한 자료들을 공개한 것이라고 검찰은 밝히고 있다.
 
◇범인 추적결과
인터넷 접속 IP 및 악성코드 분석결과, 중국 선양에서 국내 VPN 업체를 통해 국내 포털사에 접속하여 협박글을 게시했다. 중국 선양 IP-국내 VPN 업체 IP-NAVER, NATE, Daum, Twitter, Facebook 등에 협박글 게시한 것으로 확인됐다. 협박글을 게시한 포털사 계정가입자들은 명의를 도용당한 것으로 확인되었고, 국내 VPN 업체 IP 사용자 역시 명의 도용당한 것으로 확인되었다.
 
VPN(Virtual Private Network)은 공중인터넷망을 전용사설망처럼 이용할 수 있도록 통신체계와 암호화기법을 제공하는 서비스로써, 외국에서 국내 VPN 업체를 통해 국내 포털에 접속하면 마치 국내 IP에서 접속한 것처럼 보여진다.
 
◇북한 해커조직이 사용하는 것으로 알려진 악성코드와의 유사성
지난해 12월 한수원 이메일 공격에 사용된 악성코드들은 북한 해커들이 사용하는 것으로 알려진 ‘kimsuky(김수키)’ 계열 악성코드들과 구성 및 동작방식이 매우 유사하다. ‘kimsuky(김수키)’ 악성코드는 2013년 세계적인 러시아 보안회사인 카스퍼스키가 북한에서 만들어졌다고 추정한 악성코드로써, 이후 다수 유사 악성코드가 발견된 바 있다.
 
◇‘kimsuky' 악성코드와 동작방식의 유사성
한수원 이메일 공격에 사용된 악성코드는 ‘kimsuky' 악성코드처럼 ‘쉘(shell) 코드’(악성코드를 초기에 작동시키는 일종의 명령어 코드 조각)가 PC 내의 ‘윈도우 메모장’ 프로그램에 실행코드가 삽입되어 있는 동작방식이 동일하다.
 
쉘 코드의 함수 및 명령어 구조도 일치하며(쉘 코드 내부에서 사용된 파일명만 상이한 정도임), 원격접속을 위한 악성코드도 99.9% 유사하다.
 
◇‘kimsuky' 악성코드에 사용된 프로그램의 버그의 동일성 및 시간적 근접성
지난해 7월 한수원 협력업체 A사 조 대표의 이메일 공격에 사용된 악성코드의 ‘한글 프로그램’ 버그가 ‘kimsuky' 계열 악성코드에 사용된 ‘한글 프로그램’ 버그와 동일하다. 이는 일명 ‘제로데이 취약점’이라는 최신 버그를 이용한 것으로 ‘kimsuky’ 계열 악성코드에서는 지난해 5월경부터 사용되어 왔으나, 11월경 ‘한글과컴퓨터’ 업체에서 보완조치 된 사항이다. 결국, 버그가 활용된 6개월이라는 단기간 내에 ‘kimsuky’ 계열 악성코드를 사용하는 조직 이외에 다른 조직에서 이 버그를 사용해 공격할 가능성은 매우 낮다고 검찰은 밝혔다.
 
◇북한 해커조직이 사용하는 것으로 알려진 중국 선양 IP 대역이 사용
범행에 사용된 중국 선양 IP 대역은 평소 북한 해킹조직이 사용하는 것으로 보안업계에 알려진 ‘kimsuky' 계열 악성코드들의 IP 주소들과 12자리 숫자 중 9자리가 일치(175.167.xxx.xxx)한다. 중국 선양 IP 대역은 북한 압록강 주변에서도 접속할 가능성도 있으며, 인접 지역에서 무선 인터넷 중계기를 사용해 접속할 가능성도 있다.
 
◇범행에 사용된 국내 VPN 업체에 북한 사용 IP의 접속사실 확인
12월 협박글 게시에 사용된 국내 VPN 업체에 접속한 IP 내역 확인결과, 12월 하순경 북한 IP 주소 25개와 북한 체신성 산하 통신회사인 KPTC(Korean Posts & Telecommunications Corporation, 중국 북경 소재)에 할당된 IP 주소 5개에서 접속한 사실이 확인됐다. 북한 사용 IP에서 이번 건 관련 국내 VPN 업체에 접속했다는 정황이 확인된 것이다.
 
합수단 측은 “범행목적은 금전보다는 사회적 혼란과 갈등 야기라고 판단된다”며 “한수원 이메일 공격이 실패하자 피싱으로 수집한 정보로 불안심리를 자극하고 한수원을 상대로 소위 ‘약 6,000발의 이메일 폭탄’ 공격을 과감하게 실행했지만 사실상 실패로 돌아가자, 이를 숨긴 채 그동안 피싱으로 수집한 정보를 공개하며 ‘지속적이고 공개적으로’ 국민들을 위협해 불안심리를 자극하고 있다. 실체가 없는 원전반대그룹을 자처하며 금전요구를 하였으나, 6차에 걸친 협박글 게시 중 금전요구는 2회에 불과하며, 요구액을 정확히 밝히지 않고 전달장소와 시간을 산업통상자원부가 알아서 정하도록 하는 등 불분명한 금전요구로 국민안전이나 금전적 목적과 무관한 사건”이라고 밝혔다.
 
이에 합수단은 “범행은 접속 IP 및 악성코드 분석결과와 범행목적 등에 비추어 대한민국의 사회적 혼란과 갈등을 야기하는 북한 해커조직의 소행으로 판단된다”고 전했다.
 
향후 합수단은 광범위한 해킹과 약 6,000개의 이메일 공격에 사용된 IP 및 악성코드에 대해 각종 IP 추적기법, 이메일 계정의 발급, 도용, 접속 경위, 악성코드 제작, 유통 경로 파악 등 사이버수사기법을 총동원하고 긴밀한 국제공조 및 유관기관 협업으로 해킹루트와 배후세력을 발본색원하겠다는 방침이다.
 
한편 사설 이메일(NAVER, Daum, Hotmail, NATE, G-mail 등)의 업무상 사용 자제, 사설 이메일 웹사이트의 최근 접속내역 확인(제3자의 임의접속 확인 가능), 이메일 ID가 외부에 노출되지 않도록 하고, 비밀번호는 수시로 변경, 주요업무 처리자는 기관 이메일 및 사설 이메일 ID 변경 등의 노력이 필요하다고 당부했다.
 
더불어 국가 주요기관의 협력업체 정보보안 관리 감독을 강화해야 한다고 밝혔다. 공공기관과 그 협력업체에 대한 보안가이드 보급, 정보보안 관리실태의 정기적 점검, 장비 반출입시 보안조치 강화 및 주요 자료에 대한 표준 DRM 시스템 개발 및 협력업체 적용을 검토할 필요가 있다는 것이다.
 
각종 ‘미끼성’ 이메일, 스미싱 문자로 인해 악성코드에 감염될 우려가 높기 때문에 반복된 모의훈련을 통해 구성원들의 보안의식을 강화시켜야 하고 사이버보안 전문인력의 육성 및 보안시스템 투자 제고, 주요기관의 사이버보안 전문인력을 충원하고 대응역량을 강화해 사이버 공격에 신속하고 효율적으로 대응할 것을 당부했다. 한편 국가 주요기관은 물론 주요 개인정보를 다루는 민간 기업에서도 정보보안에 대한 투자를 제고시킬 수 있는 방안을 마련할 필요가 있다고 강조했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★