국가 전력망의 중심 축을 이루는 한국수력원자력은 장기간 치밀하게 표적을 공격하는 지능형지속위협(APT)이 빈번히 발생하는 곳이다. 이번에 한수원 내부문건을 빼낸 공격자는 치밀한 계획을 세워 오랜 시간 작업을 진행한 것으로 보인다.
보안업계는 지난 10월부터 국내 주요 에너지, 화학기업 임원을 노린 스피어피싱 공격이 발생한 점에 주목했다. 스피어 피싱이란 작살로 고기를 잡는 것처럼 특정인을 공격 수법으로 APT의 한 형태다.
10월 국내 모 대학 경영학과 동문을 중심으로 스피어 피싱 메일이 배포됐다. 관련 경영학과 동문은 에너지, 화학기업에서 중책을 맡은 사람들이 대거 포진했다. 공격자는 당시 ‘홈커밍데이 초청장’ 파일에 악성코드를 숨겨 이메일로 보냈다. 이 때 일부 사용자 PC가 악성코드에 감염됐을 가능성이 높다.
또 다른 공격은 지난 12월 9일 확인된 한글문서에 몸을 숨긴 악성코드다. 공격자는 한수원 직원들이 주로 열람할 만한 내용의 한글형태 문서 파일에 악성코드를 첨부해 메일로 침투를 시도했다. 본지는 지난 15일 원자력발전소 등 국내 주요기반시설을 노린 사이버테러 징후가 포착됐다는 기사를 내보냈다.
당시 보안업계는 원자력 발전과 국방, 안보 기관을 대상으로 한글 문서 취약점을 이용한 APT 공격이 감지돼 비상대응에 진땀을 뺐다. 공격자는 ‘캐나다원자력안전위원회 후쿠시마 대책 보고서’ ‘CANDU 제어프로그램 해설’ 등 원전과 밀접한 관련이 있는 문서에 악성코드를 숨겼다. 주요 기밀을 모두 빼돌린 후 PC를 파괴해 혼란을 가중시키는 전형적인 사이버테러 수법을 썼다.
한수원은 이 공격으로 피해가 없었다는 입장이다. 하지만 공격자는 블로그에 “1차 공격은 하드디스크드라이브 몇 대 파괴로 끝났다”라고 표현하며 해당 공격을 언급했다.
임종인 고려대 정보보호대학원장은 “한수원은 그동안 여러 번 국감에서도 보안 문제가 지적됐다”며 “만약 한수원 내부 PC 중 한 대라도 악성코드에 감염됐다면 내부 업무망은 그대로 해커에게 노출된 것과 같다”고 말했다.
김인순기자 insoon@etnews.com