지난 5월 북한 추정 해커의 공격을 받았던 한국원자력연구원이 12일간 무방비 상태로 노출됐던 것으로 전해졌다. 여기에 핵융합연구소, 한국항공우주산업(KAI), 항공우주연구원 등도 해킹 공격을 받은 것으로 알려졌다. 국가 주요 보안 시설이 사이버 공격에 잇따라 뚫렸다는 점에서 심각한 문제라는 지적이 나온다.
국가정보원은 8일 국회 정보위에서 간사인 김병기 더불어민주당 의원과 하태경 국민의힘 의원에게 이런 내용을 보고했다.
이와 관련, 지난달 14일 승인되지 않은 13개 외부 IP가 한국원자력연구원 내부망에 무단접속했다. 해커는 연구원의 VPN(가상사설망) 취약점을 이용해 메일 시스템, KMS인증서버 등에 접속한 것으로 나타났다. 무단접속한 IP를 분석한 결과 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’와 관련이 있는 것으로 전해졌다.
하 의원은 “원자력연구원으로부터 6월 1일 피해를 신고받고 조사 중”이라며 “12일 정도 노출됐다”고 전했다.
국정원은 해킹의 배후에 대해서는 “제3국 연계 조직으로 북한 소행으로 추정한다”며 “핵심 기술자료가 유출되지는 않았다”고 설명한 것으로 전해졌다.
다만 해커가 침투에 활용한 VPN 프로그램은 정부 부처 및 공공기관에서도 활용되고 있다. 다른 정부 및 국가 기관도 공격을 받았거나 자료가 유출됐을 가능성이 있다.
국정원은 공공기관을 대상으로 취약점이 확인된 VPN 제품에 대해 장비 제조사와 협조해 보안패치를 설치토록 하는 등 추가 피해 예방을 위해 노력하고 있다고 밝혔다.
또한, 한국원자력연구원 이외 다른 기관들도 공격을 받은 정황들이 포착되고 있으며 일부는 자료가 유출되는 사태가 발생한 것으로 전해졌다.
하 의원은 “한국항공우주산업도 해킹 정황이 포착됐고 며칠간 노출됐는지는 조사 중”이라면서 “대우조선해양은 지난해 11월 해킹당했지만, 북한의 소행은 아니라고 한다”고 전했다.
이어 “6월 7일께 핵융합연구원 PC 두 대가 감염된 사실이 확인돼 조사 중”이라며 “항공우주연구원도 지난해 일부 자료가 유출됐다”고 덧붙였다.
한편, 한국원자력연구원을 공격한 북한 김수키는 한국 방위산업체와 외교·안보 분야, 대북 단체 주요 인사들을 집중적으로 공격해온 조직이다. 김수키는 지난 2014년 한국수력원자력을 공격해 원전 설계도 도면을 훔쳐 간 바 있다.
킴수키는 보안업체 마다 지칭하는 이름이 다르며 ‘탈륨(Thallium)’, ‘APT37’, ‘벨벳 천리마(Velvet Chollima)’, ‘블랙반시(Black Banshee)’ 등으로도 불린다.
