15일 전국적으로 발생한 대규모 정전 사태의 원인이 지능형 위험공격(APT)이라는 주장이 제기됐다.
한국전력연구원 산하 전력연구원 고창시험센터의 IP가 중국 해커 사이트에서 우연히 발견됐고, 이 IP로 공격이 감행된 정황이 포착됐기 때문이다. 고창 전력연구원 시험센터의 서버가 좀비 PC에 의해 장악됐고, 이로 인해 사상 최악의 정전사고를 발생했다는 주장이다.
권석철 큐브피아 사장은 16일 오후 기자간담회를 열고, 중국 해커사이트를 통해 이 같은 사실을 확인했다고 밝혔다.
권 사장은 “이달 3일 중국 해커사이트에서 특정 IP와 한국의 지도가 나와 있는 화면을 발견했다”며 “이 지도가 무슨 의미일까 고민하며 혹시 해킹을 위한 사전 작업이 아닐까 의심해서 추적했다”고 말했다. 지도가 가키키는 곳은 전력발전소가 있는 장소였기 때문에 전력발전소를 공격하려는 시도일수도 있다고 판단, 추적을 계속해왔다는 설명이다.
권 사장은 지속적으로 중국 해커사이트를 추적하던 중 지도와 함께 발견했던 특정 IP로 로그인하는 장면이 담긴 동영상도 발견했다. 이 동영상은 로그인 아이디, 패스워드 없이 바로 시스템에 들어가는 백도어가 뜨면서 시스템에 침입하는 장면을 보여줬다. 중국해커들이 자주 사용하는 최신 공격 기법이다. 이후 권 사장은 “전력발전소에 대한 해킹이 시도되고 있다는 것을 확신했다”고 설명했다.
전력연구원 고창시험센터에 백도어를 심어두고 이곳을 침입, 다른 전력발전소까지 제어해 이 같은 대규모 정전사태를 유발했다는 주장이다. 권 사장은 “만약 한전이 발표한 것처럼 과부하에 의한 정전이라면 같은 강남지역에서 이쪽 건물은 정전이 됐지만 길 건너 다른 건물은 정전되지 않은 점에 대해 어떻게 설명하겠는가”라며 “좀비 PC를 원격으로 조종해 발전소를 장악하면 이처럼 부분적인 정전사태를 일으킬 수도 있다”고 설명했다.
권 사장은 “이 특정 IP가 무얼 의미하는지 당시에는 확인할 수 없어 국정원에 이 사실을 통보하는 수준에서 조치했다”며 “이후 국정원으로부터 그 IP가 고창 전력연구원 시험센터의 IP지만 큰 문제가 없고, 해킹 정황은 발견되지 않았다는 답변을 받았다”고 말했다. 그러나 15일 대규모 정전사태를 경험하며 이는 지난 3일 알렸던 전력연구원 고창시험센터의 침입사실과 연관이 있다는 것을 권 사장은 확신했다.
권석철 사장은 “이번에 사용된 악성코드가 어떤 성격인지 얼마나 광범위하게 전파되어 있는지는 모르지만 전 국민이 PC를 포맷하는 등 대대적인 전수검사를 권하고 싶다”고 말했다.
그는 “이번에 큐브피아에서 발견한 내용에 대해 믿지 못할지 수도 있지만 일단 국민의 알 권리를 위해 내용을 공개하게 됐다”며 “이 같은 사실이 알려지면 중국 해커들이 다시 한전을 공격하는 사태가 발생될 수 있어 우려도 되지만 정부가 상상하지 못할 정도로 치밀한 사이버테러가 실제 자행되고 있다는 사실에 대해 인지하고 이에 대한 대응방안을 고민해야 한다”고 강조했다.
장윤정기자 linda@etnews.com