원자력 관련 연구를 수행하는 국책 연구 기관인 한국원자력연구원이 지난 5월 14일 북한 해킹 조직으로부터 공격을 받은 정황이 드러나 정보 당국이 조사에 나섰다.
원자력연구원은 가상사설망(VPN) 시스템 취약점을 통해 신원 불명의 외부인이 일부 시스템에 접속한 이력이 확인됐다고 밝혔다. 이에 따라 공격자 IP를 차단하고, VPN 시스템 보안 업데이트를 적용한 상태다.
앞서 국회 정보위원회 소속 하태경 의원은 원자력연구원의 사이버 침해 신고서를 공개한 바 있다. 자료에 따르면 13개 외부 IP가 원전과 핵 원료 원천 기술을 보유한 일부 시스템에 무단 접속했다. 이에 북한 사이버 테러 전문 연구 그룹인 이슈메이커스랩을 통해 무단 접속 IP의 이력을 추적한 결과, 일부는 북한 정찰총국 산하 해커 조직인 '김수키'의 해킹 서버로 연결된 사실을 확인했다고 하 의원은 전했다.
공개된 바에 의하면 한국원자력연구원 직원 이메일 주소, 개인 휴대전화 번호, 사내 아이디·비밀번호가 포함된 계정 정보 등을 비롯해 심지어는 재택근무 여부까지 해커들 사이에서 공유된 것으로 확인됐다.
북한 정찰총국은 김수키, 라자루스, APT38 등 다양한 이름의 해킹 부대를 지휘하고 있다. 이 중 김수키는 가장 활발하게 활동하고 있는 조직으로 지난해 아스트라제네카, 셀트리온 등 제약사 해킹 공격을 주도한 것으로도 알려졌다. 주로 한국, 일본, 미국 등의 개인과 조직을 대상으로 외교·안보 기밀에 대한 공격을 시도해 왔으며, 2014년 한국수력원자력에 대한 해킹도 김수키의 소행이었다.
하 의원은 "만약 북한에 원자력 기술 등 국가 핵심 기술이 유출됐다면, 2016년 국방망 해킹 사건에 버금가는 초대형 보안 사고로 기록될 수 있다"고 밝혔다.
원자력연구원이 해킹을 당하면서 피해 범위와 파급 효과 등에도 이목이 쏠리고 있다. 원자력연구원 측은 “현재 관계 기관과 함께 이번 해킹 공격의 주체와 피해 규모 등을 조사하고 있다. 이번 사고 발생으로 국민 여러분께 심려를 끼친 점 사과드린다”고 했다.
해킹 사실 자체를 은폐하려 했다는 의혹에 대해선 “피해가 확인되지 않은 상황에서 벌어진 실무진 답변의 착오였다”고 해명했다. 주무부처인 과학기술정보통신부도 원자력연구원 내부 서버에 외부인이 접속한 이력을 확인했다는 사실을 인정했다. 이달 초 원자력연구원이 과기부에 해킹 사실을 보고했으며, 국가정보원이 조사에 돌입했다는 설명이다.
한편, 원자력 기술을 연구 개발하는 국내 최대의 핵심 연구 기관인 원자력연구원에 이어 잠수함을 건조하는 대우조선해양을 비롯한 방위산업체들 역시 북한 해커로 추정되는 조직으로부터 해킹 시도를 당했다는 의혹이 불거졌다.
밝혀진 바에 따르면, 대우조선해양을 비롯한 국내 방위사업체들은 지난해 말부터 올해 상반기 사이 해킹 시도에 노출된 정황이 발견된 것으로 알려졌다. 대우조선해양의 경우 한국 최초 3000톤급 잠수함인 도산안창호함을 비롯해 안무함 등 우리나라의 주력 잠수함을 건조하는 핵심 방산 기업으로, 해킹당한 자료 가운데 해군과 대우조선해양이 오래전부터 검토해온 핵추진 잠수함 개념 연구 내용도 포함됐을 가능성도 제기돼 논란이 일고 있다.
방위사업청은 6월 21일 “대우조선해양에 대한 해킹 시도가 있었던 것은 사실이다”라고 밝히면서, 다만 "지난해 북한 추정 해킹 세력에 의한 원자력추진잠수함 관련 정보 해킹 시도 여부는 사실이 아니다"고 반박했다.
대우조선해양은 지난 2016년 4월에도 해커에게 4만여 건의 내부 자료가 유출된 적이 있다. 당시 국방부는 유출된 자료 가운데 1~3급 군사 기밀이 60여 건이며, 이지스 구축함과 잠수함의 설계도와 전투 체계 관련 자료가 포함됐다고 국회에 보고한 바 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
