3·20 사이버 테러 2년...한수원 해커로 국가 안보 경계령

관련 통계자료 다운로드 대형 사이버테러 사고일지

3·20 사이버테러 2주년을 앞두고 한국수력원자력 원전 도면 유출 해커가 다시 활동을 시작하자 정부가 사이버 안보 비상경계령을 내렸다.

17일 국가사이버안전센터(NCSC)와 한국인터넷진흥원(KISA) 등 관련기관과 업계는 사이버위기 경보를 기존 ‘정상’ 수준에서 ‘관심’으로 격상하고 보이지 않는 공격자의 움직임을 예의주시하고 있다.

사이버위기경보는 국가사이버안전관리규정 제11조에 따라 ‘정상→관심→주의→경계→심각’ 5단계로 발령된다. 정부는 지난해 12월에도 한수원 원전자료 유출사태가 불거지자 지난 19일 정오를 기해 사이버위기 ‘관심’ 경보를 발령한 바 있다.

NCSC는 지난달 말부터 ‘키리졸브 한미 연합훈련’ 등으로 사이버 공격 가능성이 높아질 것으로 보고 위기 경보를 ‘관심’ 수준으로 올렸다. 각급 기관은 보안활동과 대비 태세를 강화하고 있다. 사건 중심에 있는 한수원은 공격의 시초가 되는 이메일을 전수 조사하며 경계를 강화한 것으로 알려졌다. 그럼에도 보안 전문가들은 홀수 해마다 터진 대형 사이버테러 사건이 올해 재현될 가능성을 배제하지 않고 있다.

국가사이버안전센터가 사이버 위기 경보를 `관심`으로 1단계 올렸다.
국가사이버안전센터가 사이버 위기 경보를 `관심`으로 1단계 올렸다.

사이버전 전문 분석가는 한수원 공격자가 활동을 재개한 후 새로운 형태 지능형지속위협(APT) 공격이 감지됐다고 밝혔다. 한수원 공격시도에 사용됐던 한글(HWP) 취약점은 계속 변화된 형태로 발견되고 있고, 최근 북한 핵문제나 한일회의 관련 한글 문서로 위장한 공격 징후도 포착됐다. 윈도XP 이하 버전에서 보안 패치가 없는 ‘갓모드(God Mode)’도 활용한다. 윈도XP 이하 버전을 사용하는 모든 PC는 해커가 조정하는 좀비PC로 변할 수도 있다.

이슈메이커스랩(대표 사이먼 최)은 2009년 7·7 사이버테러, 2013년 발생했던 3·20 때와 유사한 악성코드가 지난해 7월 이후 최근까지 지속적으로 발견됐다고 밝혔다. 사이먼 최 대표는 “공격자가 한수원에서 빼낸 문건 중 일부만 공개하며 한국 사회를 혼란시키는 사이버심리전을 펼치면서 뒤로는 새로운 공격을 감행 중”이라고 설명했다. 그는 “3·20 사태와 소니픽처스 사고에서 보듯 공격자는 폐쇄망을 장악할 수 있고 1테라바이트(TB)가 넘는 자료를 빼낼 수 있는 실력을 갖췄다”며 “공개된 자료는 빙산의 일각일 수 있다”고 덧붙였다.

공격자는 한수원은 물론이고 정치외교국방 관련 기관과 대학, 기업 등 전방위 공격을 감행 중이다. 하우리 등 복수의 보안 기업은 한국과 일본 전직 총리와 장관 등이 참여하는 ‘한일현인회의’ 관련 문건이 유출됐으며 악성코드가 삽입돼 유포된 정황을 포착했다. 한일현인회의는 22일부터 23일까지 일본 도쿄에서 열린다. 한수원에 쓰인 공격 방식에서 진일보했으나 같은 조직 소행으로 추정된다.

사이버전 분석 보안 전문가는 “공격자는 국내 보안 솔루션을 우회하는 새로운 기법을 구사하며 지속적으로 국내 주요 기관과 기업, 시설을 노리는 APT를 지속하고 있다”고 말했다.

<[표]대형 사이버테러 사고 일지>


[표]대형 사이버테러 사고 일지


김인순기자 insoon@etnews.com