2014년 12월 22일 월요일 원전 사이버 테러 크리스마스 선물이라며 보낸 해커의 원전 파괴 협박 말하기 전엔 털린 줄도 몰랐다 한국수력원자력 내부 자료가 연이어 인터넷 에 공개되면서 국내 주요 기반보호시설을 노린 사이버 테러 위협이 수면으로 급부상했다 사이 버 공격이 물리적 테러로 이어질 가능성이 높아 긴장감이 고조된다 한수원은 15일부터 인터넷에 공개된 자료와 도면의 기술검토 결과 원전 운전과 정비 교육에 필요한 참고문서로 유출 영향은 미미하다는 분 석 결과를 내놨다 정부합동수사단이 수사에 들 어갔지만 도면 유출 사실만을 확인했을 뿐 아직 이렇다 할 성과가 없다 하지만 연이어 자료까지 공개되며 어떤 기밀이 얼마나 빠져나갔는지 알 수 없다는 분석에 힘이 실린다 지금까지 공개된 자료가 빙산의 일각일 수 있다 최근 소니픽처스가 대규모 해킹 공격으로 주 요 미개봉 영화 콘텐츠는 물론이고 기업 내부 기 밀자료 등 수십 기가바이트()에 달하는 데이터 를 유출한 사건처럼 한수원 내 다른 자료가 유출 됐을 가능성도 배제할 수 없다 ◇원전 크리스마스의 악몽? 블로그에 한수원 내부 문서를 올려놓고 일반 인 열람을 유도한 공격자는 크리스마스 선물이 란 표현을 쓰며 일본 후쿠시마 원전 폭파 사건을 언급했다 공격자는 노골적으로 1차 공격은 하 드디스크드라이브 파괴 몇 개로 끝났지만 2차는 제어시스템 파괴라고 명시했다 그는 아직 한 수원은 해킹 상황을 제대로 모른다며 우리 그 룹이 1만6250개 악성코드를 보냈다고 썼다 크리스마스에 여러 기의 원전이 파괴될 수 있으 니 국민 안전을 도모하는 조치를 해 올해를 사고 없이 마무리했으면 좋겠다는 글까지 올렸다 공격자는 19일 문서 공개 때 해외 파일 공유사 이트 패스트빈을 이용했다 한국 수사기관이 신 속하게 차단할 수 없는 곳에 문서를 올리며 한수 원과 정부를 조롱했다 실제로 최근 한수원 등에 한글 취약점을 이용한 지능형지속위협(APT) 공 격이 있었다 이 공격으로 일부 PC 하드디스크드 라이브가 파괴된 것으로 알려졌다 공격자는 15일 네이버 블로그를 개설하고 1차 로 한수원 임직원 정보를 올렸다 그 이후 본격적 으로 원전 설계도면을 글로벌 클라우드 서비스인 드롭박스에 올리고 링크를 게시했다 준비작업 을 마친 공격자는 기자에게 원전 해킹 정보라는 이메일을 보내 관련 내용을 알리는 대범함까지 보였다 검찰 등 수사기관은 본지에서 입수한 공 격자 IP(Internet Protocol) 주소를 추적 중이다 19일 수위는 더욱 높아졌다 공격자는 트위터 에 바이러스가 언제 작동할지 잘 모른다며 흔 적 같은 거 안 남기니 찾느라 너무신경쓰지 말 라고 경고했다 또 크리스마스 선물은 방사능 없는 안전한 환경이아닐까요라는 설명도 달았 다 원전반대그룹은 원전 인근에서 상시적인 위 협을 받고 있는 주민께 정중히 건의드린다며 크리스마스부터 몇 달 동안은 원전에서 멀리 떨 어진 곳으로 피하세요라는 글도 남겼다 21일 공격자는 또 트위터에 한수원을 맹비난 하며 추가 자료를 공개했다 공격자는 아직 공 개 안 한 자료 10만여장도 전부 세상에 공개해줄 게 제대로 한번당해봐라라고 썼다 그러면서 현재 수사상황을 비웃는 말도서슴지 않았다 그 는 합수단 분들도 고생많으신데 수사할거면제 대로 하라며 한수원 덮어줄생각이면 수사를 중단하라고 덧붙였다 공격자는 고리 13호기 월성 2호기를 크리스마스부터 가동 중단 조치하 라며 중단 안 되면 자료 모두 공개하고 2차 파 괴를 실행한다고 협박했다 ◇국가 주요기반시설 정보보호 구멍 한수원은 국내 전력의 29%를 담당하는 최대 발전 회사로 23기에 달하는 원전을 운영한다 이 번 자료 유출 사고는 한수원의 허술한 정보보호 상태를 그대로 보여준다 자료의 민감도를 떠나 회사 내부 자료가 유출됐다는 사실만으로 정보 보호에 큰허점을 드러냈다 19일 아침 산업통상자원부(산업부)는 본지 보 도와 관련해 입장(설명) 자료를 모든 언론사에 배포하고 한수원 해킹 수사의뢰원전 설계도 유출 가능성에 대해 설명했다 이 설명 자료가 나온 지하루가 지나지 않아 공격자는 정부를 조 롱하는 듯또다시 자료를 공개했다 산업부는 현재까지 해킹 흔적이 발견되지 않 았으며 비상대응체계를 만들어 추가 조사를 진 행중이라고 밝혔다 외부인 해킹은 물론이고 내부자 정보유출 가능성까지 폭넓게 조사하고 있다는 설명이다 유출경로가 어찌됐든 주요 기 반시설에 심각한 보안 허점이 노출된 셈이다 하지만 보안 전문가는 한수원 상황이 최악으 로치닫고 있다고 분석한다 싱가포르에 본사를 둔 보안기업 NSCH의 허영일 대표는 공격자는 일부 한수원 웹페이지를 해킹한 후 Who AM I 라는 글을 올려놨다며 해킹 흔적이 없다는 조 사 결과를 신뢰할 수 있을지 의문이라고 말했 다 그는 한수원은 다양한 원격제어와 명령을 할 수 있는 취약한 워드프레스를 쓰고 있다며 당장 검찰만이 아니라 민간전문가를 포함한 공 동대응반을 만들고 정보유출 사건이 아니라 사 이버테러로 접근해야 한다고 덧붙였다 본지는 입수한 원전 관련 도면 등 주요문건을 18일 한수원 관계자에 전달하고 문건의 진위여 부를 물었다 그 순간까지 한수원은 문건이 유출 된 사실을 전혀 알지 못했고 언제 누가 유출했는 지도 파악하지 못하고 있었다 한수원이 중앙지 방검찰청에 수사를 의뢰한 것도 본지와 커뮤니 케이션하는 과정에서 이뤄졌다 한수원 정보보호 문제는 이미 여러 번 언론에서 지적됐다 지난 10월 국정감사에서는 한수원이 내 부 컴퓨터망에 접속할 수 있는 ID와 비밀번호를 여 러 외주 관리업체에 제공한 사실도 드러났다 어렵 게 해킹을 하지 않아도 ID와 비밀번호만 알면 내부 주요 자료를 얼마든지 빼돌릴 수 있는 상황이었다 한수원이 국감 때 제출한 원전 사이버보안계 획서 현황에 따르면 국내 23개 원전 가운데 사이 버 공격 발생 시대응방안을 명시한 사이버 공격 대응 매뉴얼이 있는 곳은 단 한 곳도 없었다 지 난 2010년부터 올해 8월까지 한수원이 파악한 원전의 사이버공격 건수는 1785건에 달하지만 사실상 대비책은 없는 셈이다 김승주 고려대 정보보호대학원 교수는 국내 주요 기반시설 관계자는 망 분리를 너무 맹신한 다며 에드워드 스노든의 폭로 사례에서 볼 수 있듯이 폐쇄된 망을우회하는 다양한기법(air g ap jumping technique)이 존재한다고 말했다 김 교수는 망 분리로 업무망 자체를 인터넷과 단 절시키면 외부인의 침투를 막는 효과는 있겠지 만 바이러스백신 업데이트 등도 함께 차단돼 일 단 악성코드가 업무망에 침투하면 탐지나 치료 가어렵다며 주요 기반시설의 보안정책을 총 체적으로 재점검해야 할 시점이라고 덧붙였다 김인순기자 insoon@etnewscom 여기 한번 보세요 며칠 전에 원전 공격한 해 커들인 듯한데 자료도 일부 공개했네요 ㅋㅋㅋ http://blognavercom/000000 지난 15일 21 시 09분 네이트 판에올랐던 게시글이다 공격자는 15일부터 본격적으로 국내외 포털 과소셜네트워크를 중심으로 국내 원자력발전 소 보안 이슈를 문제 삼기 시작했다 그 이후 18 일 본지에 원전해킹추가자료란 메일을 보내 한 수원에서 빼낸 도면과 설계도 등을 공개했다 관련 글은 아직도 포털에 게시된 상태다 자료 를 올려둔 네이버 블로그는 수사가 진행되며 비공 개로 바꿨다 여전히 해외 SNS와 자료 공유 사이 트는 차단되지 않았다 보안 전문가들은 공격자가 의도적으로 한수원 문건을 인터넷에 올리며 원전 보안 이슈몰이를 시작했다고 분석했다 왜 공격자는 은밀히 진행해야 할 작전을 언론 에 알렸을까 지난해 320 사이버테러 등 대형 사 고 발생과전혀 다른 형태다 한 보안 전문가는 이번 한수원 문건 유출 사 고알림은 최근 발생한 소니픽처스 해킹 후 동영 상유포와 유사한 형태를 보인다며 빼돌린문 서를 조금씩 공개하며 한수원이나 우리 정부에 돈을요구한다고 말했다 그는 이런행위는 고 도의 심리전일 수 있다며 원전에 대한 사회적 불안을 조장해 관련 그룹이 원하는 다른 뭔가를 얻어내려는 방법이라고 분석했다 여기서 주목해야 할 점은 이번 한수원 정보 유 출 사고가 소니픽처스와 유사하다는 점이다 한 수원은 해킹 흔적을 찾지 못했다고 발표했지만 이미 11월말 한수원 직원을 노린 지능형지속위 협(APT) 공격이 진행됐다 공식적으로 피해여 부가 확인되지 않았지만 한수원 직원 한 명이라 도 APT 악성코드에 감염됐다면 해커는 내부망 에 침입했을 가능성이 높다 김용대 KAIST 교수는 한수원 직원 중 단한 명이라도 악성코드에 감염됐다면 해커에게 내 부망이 장악된 것이나 다름없다며 중요 내부 문서를 체계적으로 분류하고 클라우드에 저장 했다면 이런 사고를 미연에 방지할 수 있었다고 설명했다 김인순기자 소니 해킹과 유사 이슈몰이로 불안조장 효과 노린 듯 유출정보 왜 알렸나 YqL'O2.h QG]O ; #g+ dB P kI*SZ* bS X\;n Yq.pTF SZ* 5[H Y< E $0 S[ `: `3%V 6@D) i j,(n YqSZ, !KJf 7> $0 q & kIS <KJf m0o ?4 G<=-a eo < UD[m9lo WA bS [m9 l & 1B _n YqTF pl c_M[F=C;Bo . pl ^m g$0o 8[ @RZ /"No & _n 대범한 해커메일SNS로 과시 설계도면 및 글 잇따라 올리며 조롱 2차 제어시스템 파괴 노골적 협박 한수원 취재 시작 후에야 인지대응 ID비번 외주 관리업체 제공에 원전 공격 대응 매뉴얼도 없어 주요 기반시설 테러 악몽 시달려 한수원 문서유출 사건 일지 및 공개문서 내역 12월 21일 01:30 ]G\@ a:E 1 + S 20:20 ]G\@ " P/ S X 12월 19일 03:30 ^;]4 5J]@ a:E 1 + S W ?# 18:30 :5 J. 3# S 17:40 OM=+ a:E@ HX M$ R0A1 dK , :5 = CT 12월 18일 15:22 OM=+@ eEOc[M$Wf Q*I# J. 3# 'Z `b J(L -9 01:05 ]G\@ B& D L D _J;2@ < 12월 16일 00:50 ]G\@ %gF8 EO L1 ) S 18:57 a # WN @7 >8Y H` , !(L O9 20:01 J. 3#@ S M$ HX 12월 15일 11:41 VU _J;2 P 68 -한수원 임직원 개인정보 -아랍에미리트 왕세자에게 보낸 대통령 친서 -월성#1,2 제어프로그램 해설서 일부(25페이지, 총428페이지) -월성#1 감속재계통 ISO도면 Title Cover Sheet(내용없음) -월성#1 배관설치도면(ISO) 2장 -고리#1,2 배관계측도면(P&ID)의 범례 1장 -고리#1,2 보조건물 냉각수 계통도면(Aux. BLDG Chilled Water) -월성#1 주제어실에 설치된 급수 및 복수계통패널 사진 -원전 주변 주민들의 방사선량 평가 프로그램 -고리1호기 원전 냉각시스템 도면 -K-REDAP 등 한수원 내부시스템 화면 -한수원 비밀 세부분류지침 -한수원 내부 유전전화번호 -2급 이상 직원번호 -월성 34호기 최종안전성분석보고서 -방사능 안전 정보 컴퓨테이셔널 센터 화면 -MCNP5 사용설명서 불륨2 -고리 원전 도면 △에어 핸들링 시스템 서비스(Air-Handling-System-Service) △컴포넌트 쿨 링시스템(Component-Cooling-System-Es) △가스 시스템 다이아그래마(Gas-System-Dia grma) △메인앤 옥스 피드워터 시스템(Main-and-Aux-Feed-Water-Sys) △프라이머리 메 이크업 워터 시스템(Primary-Makeup-Water-System)-BURN4 매뉴얼