세계일보

검색

이메일 첨부파일로 침투… 고도화된 해킹툴 동원

입력 : 2014-12-21 19:12:55 수정 : 2014-12-21 22:53:33

인쇄 메일 글씨 크기 선택 가장 작은 크기 글자 한 단계 작은 크기 글자 기본 크기 글자 한 단계 큰 크기 글자 가장 큰 크기 글자

어떻게 뚫렸나 한국수력원자력의 원자력발전소 도면 등이 유출되기 전에 이메일을 통한 해킹 시도가 있었던 것으로 나타나 범인 주장대로 해킹을 통해 자료가 유출됐을 가능성이 큰 상황이다. 이메일 첨부파일을 통한 악성코드 침투라는 전형적인 해킹 수법이 사용됐으며 ‘1급 국가보안 시설’인 한수원을 해킹한 만큼 세부적으로는 고도화된 해킹툴이 동원됐을 것으로 보인다. 보안 전문가들은 ‘원전반대그룹’으로 불리는 해킹집단이 한수원 자료를 조금씩 공개하고 있는 것은 효과를 극대화하는 전략이라고 분석하고 있다. 

21일 한수원 및 보안업계에 따르면 지난 9일 한수원 일부 임직원들이 알 수 없는 발신자로부터 받은 이메일에는 ‘제어 프로그램’이라는 이름의 한글(hwp) 파일이 첨부돼 있었다. 이 파일에는 기존 악성코드에 일반적으로 심어진 ‘백도어’(정보 유출) 기능 외에 주요 확장자 파일들에 대한 파괴 및 마스터부트레코드(MBR) 파괴기능의 파일도 함께 들어 있었다. 수신자가 이메일 첨부파일을 열어보면 악성코드가 깔리면서 모니터에 ‘Who am I?’라는 영문 메시지가 뜨며, 하드디스크에 있는 자료가 외부로 빠져나가는 방식이다.

한수원은 이를 인지하자 사이버관제센터에 신고했고, 안랩에도 알려 이번 악성코드에 관한 백신을 만들어줄 것을 요청했다. 이후 안랩은 지난 10일 자사 블로그를 통해 컴퓨터 부트영역을 덮어씌우는 바이러스를 주의하라고 당부했다. 바이러스 치료업체 하우리도 12일자 자료를 통해 관련 내용을 전했다.

안랩은 특히 “12월10일 오전 11시 이후에 MBR 파괴기능이 작동하도록 설계됐고 MBR 감염 후 재부팅 시 ‘Who Am I?’라는 글씨가 뜬다”고 그림 등을 통해 상세히 전하며 그 위험성을 강조했다.

보안업계는 14일부터 원자력발전과 국방·안보 기관을 대상으로 한글문서 취약점을 이용한 지능형지속위협(APT) 공격이 감지됐다며 비상대응에 들어갔다.

보안업계는 이번 자료 공개를 누가 어떤 목적에서 한 것인지 알 수 없지만 한수원이 뚫릴 정도면 아마추어 수준은 넘어선 것으로 파악하고 있다. 특히 1급 국가보안시설인 한수원을 쉽게 해킹할 수 있을 만큼 고도화한 해킹툴이 사용된 것으로 추정한다.

안용성 기자 ysahn@segye.com

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]

오피니언

포토

리센느 메이 '반가운 손인사'
  • 리센느 메이 '반가운 손인사'
  • 아일릿 이로하 '매력적인 미소'
  • 아일릿 민주 '귀여운 토끼상'
  • 임수향 '시크한 매력'