한수원 유출 북한 해커조직 소행…"킴수키 계열 악성코드 동일"

입력 2015-03-18 00:50
한수원 유출 북한 해커조직 소행

(한수원 유출 북한 해커조직 소행 사진 설명 = 한수원 유출 북한 해커조직 소행 '연합뉴스')



한수원 유출 북한 해커조직 소행…"킴수키 계열 악성코드 동일"

한국수력원자원(이하 '한수원')의 원전 설계도 등이 유출된 '한수원 유출 사건'이 북한 해커 조직의 소행이라고 밝혀졌다.

17일 오후 개인정보범죄 정부합동수사단은 “이번 ‘한수원 유출 사이버테러 사건’이 돈보다 사회적 혼란 야기가 주요 목적인 북한 해커조직의 소행으로 판단된다”며 중간수사 결과를 발표했다.

합수단은 이번 범행에 사용된 악성코드는 북한 해커조직이 사용하는 것으로 알려진 ‘킴수키(kimsuky)’ 계열 악성코드와 구성 및 동작 방식이 거의 동일하다고 밝혔다.

이어 합수단은 킴수키 계열 악성코드들의 IP 일부가 협박글 게시에 사용된 중국 선양 IP 대역과 12자리 중 9자리까지 일치한다고 덧붙였다.

합수단은 이들이 자료를 빼내고 이메일 공격, 협박글 게시 등 루트로 도용한 국내 가상사설망(VPN) 업체가 관리하는 다른 접속 IP 중 지난해 12월 북한 IP 주소 25개와 북한 체신성 산하 통신회사 KTPC에 할당된 IP 주소 5개가 접속한 점을 들면서 “북한 소행의 근거”라고 말했다.

한수원 유출 사이버 테러 사건의 해커조직은 지난해 9월부터 12월까지 한수원 직원 3571명에게 5986통의 파괴형 악성코드 이메일을 발송해 PC 디스크 등을 파괴하려고 시도했으나 사실상 실패에 그쳤다.