지난 2014년 한국수력원자력을 공격한 북한의 해킹조직 김수키(Kimsusy)가 이번에는 원자력연구원을 공격했다는 주장이 제기됐다.
국회 정보위원회 소속 국민의힘 하태경 의원은 18일 기자회견을 열고 한국원자력연구원의 사이버침해 자료를 공개, 이같이 전했다.
하 의원은 “지난달 14일 한국원자력연구원 내부 시스템이 북한 정찰총국 산하 해커 조직인 ‘김수키(kimsuky)’로 추정되는 IP를 통해 해킹당했다”며 “만약 북한에 원자력 기술 등 국가 핵심 기술이 유출됐다면 초대형 보안 사고로 기록될 수 있다”고 말했다.
북한 사이버테러 전문 연구그룹인 ‘이슈메이커스랩’을 통해 무단접속 IP의 이력을 추적한 결과, 해당 IP가 ‘킴수키’가 지난해 코로나 백신 제약회사를 공격했던 북한 해커의 서버와 관련된 것으로 확인됐다고 하 의원은 주장했다.
김수키는 지난 2014년 한국수력원자력을 공격한 바 있으며 당시 합동수사본부는 이들의 배후에 북한이 있다고 발표한 바 있다. 만약 이번 공격이 사실로 판명될 경우 김수키가 7년여 만에 다시 한번 원자력 관련 기관을 사이버 공격한 것이 된다.
자료에 따르면, 지난달 14일 승인되지 않은 13개 외부 IP가 한국원자력연구원 내부망에 무단접속했다. 해커는 연구원의 VPN(사설가상망) 취약점을 이용해 메일 시스템, KMS인증서버 등에 접속한 것으로 나타났다.
KMS인증서버는 기관 또는 학교에 구축돼 MS서버를 대신 윈도나 오피스 프로그램을 인증해 주는 역할을 한다.
문종현 이스트시큐리티 시큐리티대응센터 센터장은 “해커가 다양한 악성 파일을 유포할 방법들을 찾기 위해 노력한 것으로 보인다”며 “KMS인증서버에서 파일을 배포하는 시스템이 있는지를 확인하기 위해 접속했을 가능성이 있다”고 말했다.
문 센터장은 “만약 KMS인증서버를 통한 파일 배포 기능을 사용했다면 피해가 더욱 클 수 있다”며 “면밀한 조사가 필요하다”고 설명했다.
이 사건은 국가정보원이 구체적인 배후 세력을 현재 조사 중인 것으로 알려졌으며 피해 규모는 정확하게 알려지지 않았다.
하 의원은 원자력연구원과 의원실의 최초 질의에 대해 해킹 사고가 없었다는 취지로 답변한 데 대해서는 “사건 자체를 은폐하려 했다”고 비판했다.
하 의원은 “한국원자력연구원은 원자력 기술을 연구하고 개발하는 국가 최대의 핵심 연구 기관인데, 해킹당한 사실을 거짓말로 은폐해 국민을 속이려 했다”면서 “정부는 누가, 어떤 목적으로 국가 핵심 기술을 탈취했는지 피해 규모와 배후 세력을 조속히 공개해야 한다”라고 강조했다.
한편, 김수키(탈륨)는 지난달 초 ‘북한비핵화컨트롤타워구축’이라는 이름의 문서에 산업자원부, 과기정통부, 국방부, 원자력안전위원회 등의 내용을 포함해 공격한 바 있다.
공교롭게도 원자력연구원이 공격을 받은 시점이 5월 14일이다. 이에 일각에서는 해당 공격이 원자력연구원 공격과 관련이 있는 것 아니냐는 분석도 나온다.
북한 해킹조직의 규모와 정확한 이름을 파악하는 것이 쉽지 않다. 이 때문에 각종 기관, 민간단체에서 각각 고유한 이름을 붙인다. 김수키는 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)에서 처음 명명한 이름이며 탈륨은 2019년 미국 마이크로소프트가 붙인 이름이다. 보안 전문가들은 김수키와 탈륨을 동일하거나 관련이 깊은 조직으로 보고있다.
