단독사고 5개월 전부터 한수원 직원 ID·PW 인터넷에 나돌았다

해커에 의해 한국수력원자력(한수원) 해킹 사실과 원자력발전소 설계도면 등 주요자료가 공개되기 5개월 전부터 한수원 직원의 이메일 계정(ID)과 비밀번호(PW)가 인터넷 정보공유사이트에 나돌고 있는 것으로 본지 취재 결과 확인됐다.

[단독]사고 5개월 전부터 한수원 직원 ID·PW 인터넷에 나돌았다

만일 해커가 한수원 직원 ID와 PW를 사용해 한수원 내부망에 침입했다면 해킹 흔적 찾기가 힘들 뿐 아니라 번거롭게 한수원 네트워크를 해킹하지 않고도 내부망에 손쉽게 접근할 수 있었던 셈이다. 직접 해킹하지 않았더라도 이미 공개된 한수원 직원 이메일 주소로 악성코드가 숨겨진 메일을 발송해 열람을 유도한 후 추가 범행을 도모했을 가능성도 점쳐진다.

전자신문은 한수원의 원전자료 유출 사고가 발생한 직후부터 해커의 내부망 침입 가능성을 확인하기 위한 단서 찾기에 나섰다. 본지는 23일 정보공유사이트 패스트빈(Pastebin)에서 한수원 직원 ID와 PW가 포함된 대량의 데이터를 확보했다.

이 사이트에 이메일 ID와 PW가 공개된 사람은 총 4885명으로, 이 가운데 두 명의 정보가 한수원 계정(@khnp.co.kr)인 것을 확인했다. 한수원 측에 확인한 결과 한 명은 무주양수발전소 소속 직원이었고, 다른 한 명은 울진화력본부에서 근무 중인 직원이다. 이 데이터는 7월 1일 업로드된 자료로, 12월 23일 17시 현재 583명이 열람했다.

패스트빈은 각종 데이터정보를 올리고 누구나 자유자재로 내려 받을 수 있게 한 해외 유명 사이트다. 최근 소니픽처스의 회사 기밀 자료와 미개봉 영화 파일을 해킹한 사이버테러 집단도 패스트빈을 이용해 해킹한 자료를 공개했다. 따라서 4885명의 이메일 ID와 PW 자료를 열람한 583명 가운데에는 국내 네티즌은 물론이고 2차 범행을 모의하는 해외 범죄자나 해커가 포함됐을 가능성도 충분하다.

이 자료에는 네이버, 다음, 구글 등 유명 포털 이용자를 비롯해 국내 주요 대기업, 공공기관 직원의 이메일 ID와 PW가 빼곡히 적혀 있다. 자료가 올라온 건 5개월 전이지만 이 정보는 여전히 패스트빈에 그대로 노출돼 있다.

해커가 이 계정을 사전에 입수했다면 한수원 내부 시스템에 정상적으로 로그인하는 형태로 접속해 자료를 빼냈을 가능성이 제기된다. 또 이들 이메일 주소를 이용하는 한수원 직원에게 쉽게 포착되지 않은 악성코드 내장 이메일을 보내 해당 PC를 감염시키는 방법으로 추가 사이버테러를 준비했을 수도 있다.

A 보안전문가는 “해커가 유출된 개인정보를 활용해 흔적 없이 한수원 시스템에 접근했을 가능성을 배제할 수 없다”며 “업무망에서 내부 문서를 빼낸 후 원전 제어망 접근을 위해 이달 초 발견된 악성코드를 제작했을 수도 있다”고 설명했다.

이에 한수원 관계자는 “직원 ID는 맞지만 비밀번호는 9자리로 구성돼 공개된 것과 차이가 있다”고 밝혔다.

한편, 그동안 네 차례 한수원 자료를 공개하며 정부를 위협하던 공격자는 23일 15시 30분께 패스트빈에 4개 파일로 구성된 추가 도면을 올려놓고, 트위터를 통해 다섯 번째 자료 공개 사실을 알렸다. 이번에 추가 공개된 파일 역시 고리·월성 원자력발전도 계통도의 일부다.

원전반대그룹이라 밝힌 공격자는 최근 실시 중인 한수원의 사이버대응 훈련 상황을 조롱하며 “원전 주변 주민을 대피시키라”고 경고했다.

김인순기자 insoon@etnews.com