2006년 1월 한국원자력연구원 관계자 등의 e메일 ID·패스워드가 해커그룹에 유출된 것이 확인됐다. 한국원자력연구원은 원자력을 이용한 에너지 기술을 연구·개발하는 곳. 해커들은 국회 서버를 공격해 원자력·안보부처 관계자 e메일 계정 정보를 다량으로 확보했다. ID와 패스워드를 알면 e메일로 오간 정보를 절취할 수 있다.
안보당국은 2005년부터 중국발(發) 해킹 시도가 대폭 늘어난 것을 포착했다. 해커들의 공격 루트를 따라 역(逆)공격해 일부 해커 PC에 접근했다. 해커들은 한국 인사 e메일 정보를 PC에 파일로 정리해놓았다. 한국 공공기관 문서도 발견됐다. 거의 모든 정부 부처를 목표로 삼았다는 것도 확인했다. 해킹 공격을 포착한 후 안보부처, 원자력 관계자의 e메일 개인정보 교체 지시가 내려졌다. 자료가 담긴 PC는 인터넷 접속을 끊고, 인터넷에 연결된 PC는 자료를 보관하지 않는 식으로 PC를 사용하라는 지침도 내려왔다. 국회에 중요 자료를 제출할 때 e메일을 사용하는 것도 막았다.
해커 PC에 e메일 패스워드가…
안보당국은 e메일 ID·패스워드 해킹을 북한 소행으로 판단했다. 노무현 당시 대통령은 국가 차원의 사이버 위기 대응을 위한 총괄 법률을 마련하라고 지시했다. 그해 8월 국가정보원, 국방부, 정보통신부가 참여한 사이버 위기 대응 통합훈련이 처음으로 실시됐다. 노 대통령도 참석했다. 남북관계를 고려한 정치적 판단에 따라 해킹 사건을 언론에 공개하진 않았다.
한국원자력연구원 관계자 등의 e메일 ID · 패스워드 해킹은 남북 간 물밑 전쟁이 수면으로 떠오른 첫 사례다. 북한이 사이버 공격을 준비하기 시작한 때는 2004년부터라고 당국은 파악한다. 2005~2007년에는 e메일, 홈페이지 공격 등 낮은 수준의 공격이 주로 이뤄졌다.
북한은 안보기관 · 국책연구소 인사를 대상으로 기밀 절취를 지속적으로 시도해왔다. 알아채지 못한 공격이 더 많을 것이다. 해킹당하고도 해킹당한 사실을 포착하지 못하는 것을 보안업계에서는 ‘폴스 네거티브 에러(False Negative Error)’라고 한다.
시곗바늘을 2015년 3월로 돌려보자. 3월 12일 한국수력원자력(한수원)을 해킹한 그룹이 트위터를 통해 박근혜 대통령이 1월 초 반기문 유엔 사무총장과 통화한 내용, 고리1·2호기 운전용 도면, 사우디에 수출하기로 한 스마트 원전(原電) 증기발생기 분석자료 등을 공개했다. 해커그룹은 박근혜 대통령의 통화 내용 등을 공개하면서 “지난해 크리스마스를 무난히 넘긴 것은 국민의 안전이 소중해서였다. 하지만 그동안 우리가 너무 조용히 있었던 것 같다. 자료를 선물로 보낸다”고 밝혔다. 해커그룹은 지난해 12월 15일부터 성탄절 직전까지 블로그와 트위터를 통해 한수원 원전 도면 등을 공개하고 12월 25일 ‘2차 파괴’를 단행하겠다고 위협했으나 공격은 실제로 이뤄지지 않았다.
개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)은 3월 17일 중간수사결과를 발표하면서 “이번 범행은 북한 해커 조직의 소행으로 판단된다”고 밝혔다. 중국 IP주소를 사용하는 ‘킴수키(kimsuky)’가 범인으로 지목됐다. 해커가 한수원을 해킹하고 자료를 유포할 때 접속한 IP주소 12자리 중 9자리가 북한이 과거에 사용한 것으로 지목된 악성코드 ‘킴수키’가 사용한 것과 같았다. 악성코드 핵심기술인 셸코드도 킴수키의 그것과 99.9% 일치했으며 국내 언론사와 농협 등 금융기관을 공격할 때 쓴 것과 비슷한 방식으로 해킹이 이뤄졌다. 해커가 트위터에서 ‘아닌 보살’ ‘통채’ ‘요록’ 등 북한식 표현을 사용한 점, 소니픽처스 해킹 사건과 유사한 시기에 벌어진 점이 정황 증거로 제시됐다
