북한의 사이버 공격이 도를 넘고 있다. 국내 유일의 원자력 종합연구개발 기관인 한국원자력연구원이 북한으로 추정되는 집단에 의해 해킹당한 데 이어 국산 잠수함 건조업체인 대우조선해양 등 방위산업체도 무차별적인 해킹 공격을 받은 것으로 드러났다.
원자력연구원, 1주일 새 세 번 입장 바꿔
시사저널은 6월18일자 인터넷판 기사 ‘[단독]원자력연구원, 서버 뚫렸다 “北 해킹 의심”…은폐 의혹’을 통해 원자력연구원 해킹 사실을 최초 보도했다. 원자력연구원이 해킹 공격을 처음 받은 것은 5월14일이다. 가상 사설망(VPN) 시스템의 취약점을 통해 ‘신원불명’의 외부인이 내부 서버에 접속한 것이다. 13개의 외부 인터넷 주소(IP)에서 허가받지 않은 접속이 이뤄졌다.
시사저널은 국회 정보위원회 소속 하태경 국민의힘 의원을 통해 13개의 IP를 입수해 사이버 보안업체에 분석을 의뢰했다. 북한 해킹그룹은 ‘김수키(Kimsuky)’ ‘라자루스(Lazarus)’ ‘스카크러프트(Scarcruft)’ ‘안다리엘(Andariel)’ 등으로 분류된다. 이들이 사용하는 해킹 코드의 유사성을 분석하면 어떤 해킹 그룹의 소행인지 알 수 있다.
분석 결과, 김수키 그룹이 원자력연구원을 해킹한 것으로 드러났다. 사이버 보안업체 관계자는 “13개의 IP 중 하나가 김수키 그룹이 피싱 공격에 이용하는 IP인 것으로 확인됐다”면서 “나머지 12개는 실제 사용하는 IP를 은닉하기 위해 사용하는 대역 IP다. 국내뿐 아니라 독일·중국 등 해외 대역이 사용됐다”고 설명했다. 이어 “관련 IP들이 과거 해킹 사고와도 관련이 있는 것으로 확인됐다”면서 “김수키 그룹이 관리자 권한을 탈취해 주요 정보를 빼내간 것으로 우려된다”고 덧붙였다.
더 큰 문제는 연구원이 해킹 피해 사실을 은폐하려고 했다는 점이다. 연구원 측은 해킹과 관련해 1주일 사이 세 번이나 입장을 바꿨다.
6월11일, 해킹 피해 사실에 대해 시사저널이 취재를 시작하자 원자력연구원 측은 “해킹 피해가 발생해 현재 조사 중”이라고 밝혔다. 그러나 5일 뒤인 16일에는 돌연 “해킹 피해를 입은 바 없다”고 말을 바꿨다. 그런데 또 하루 만인 17일에는 “VPN 취약점을 이용해 외부인이 시스템에 접근했다”고 해킹 피해 사실을 인정했다.
하태경 의원은 “과학기술정보통신부와 원자력연구원 등 관계기관 모두가 짜맞춘 듯 ‘해킹 사고는 없었다’며 허위 보고를 했다가 구체적인 사실관계를 따져묻자 결국 실토했다”며 “원자력연구원은 원전과 핵연료봉 등 국가 핵심 원천기술을 연구하고 개발하는 곳인데, 이러한 중요한 사실(해킹)을 뻔뻔한 거짓말로 은폐해 국민을 속이려 한 죄가 더 크다”고 비판했다.
이와 관련해 원자력연구원은 6월18일 <시사저널 ‘원자력연구원, 서버 뚫렸다 “北 해킹 의심”…은폐 의혹’ 기사 관련 설명자료>를 내고 “‘해킹 사고는 없었다’는 내용은 침해가 의심돼 조사 중으로 피해가 확인되지 않은 상황에서 벌어진 실무진의 답변 착오였다”면서 “원자력연구원은 금번 해킹 사고 발생으로 국민 여러분께 심려를 끼친 점 사과드린다”고 해명했다.
“국민 재산권 지키기 위해서라도 대책 세워야”
원자력연구원의 해킹 사실이 알려지면서 다른 정부기관과 방산업체 등에도 관심이 쏠렸다. 이에 방위사업청(방사청)은 6월21일 브리핑을 갖고 “최근 한국원자력연구원 해킹과 관련해 방위사업 분야 업체들을 대상으로도 집중 점검하면서 취약점 등을 확인하고 있다”면서 “대우조선해양 등 다른 방위산업체에 대해서도 해킹 시도가 있었던 것으로 확인돼 관계기관과 함께 점검 및 조사를 진행 중”이라고 밝혔다.
방사청에 따르면 대우조선해양의 경우 지난해 말부터 올 상반기 사이 지속적인 해킹 공격을 당했고, 이에 따라 국가정보원 등 관계당국이 조사를 벌이고 있다. 방사청 관계자는 “대우조선해양뿐 아니라 다른 방산업체에 대해서도 경찰과 군 방첩 관련 기관에서 조사 및 점검에 착수한 상황”이라고 말했다.
그러나 해킹 시도가 성공했는지 여부에 대해선 “점검·조사가 진행 중인 사안이어서 현재 답변하기가 적절치 않다”면서 “아직 확인 중”이라고만 말했다. 이를 두고 일각에서는 “문재인 정부가 대북 유화 정책을 취하면서 국정원·경찰 등 관련 당국도 북한의 사이버 공격에 대해 언급하는 것조차 꺼리고 있다”고 지적하고 있다.
이와 관련해 하태경 의원은 “정권 초반 북한과 대화 국면일 때 ‘분위기를 해칠 수 있다’는 명분으로 사이버 테러 위협을 쉬쉬하는 경향이 있었는데 이제는 이 문제를 직시해야 한다. 특히 비트코인 등 암호화폐가 급등세였던 지난 1년간 보안이 취약한 거래소를 중심으로 집중적인 사이버 테러가 발생했는데, 북한으로 추정되는 공격도 다수 보고됐다”면서 “안보 차원뿐 아니라 국민의 재산권을 지키기 위해서라도 북한의 사이버 테러 위협을 막기 위한 국가적인 대책과 논의가 필요하다”고 강조했다.
실제로 북한은 5월21일 열린 한·미 정상회담을 전후로 정계, 학계, 언론계 등을 대상으로 전방위적인 해킹 공격에 나선 것으로 확인됐다. 이보다 앞선 2019년에는 인천에 있는 A교회를 숙주 삼아 윤건영 더불어민주당 의원, 박선원 국가정보원 기획조정실장, 최종건 외교부 1차관 등 문재인 정부 안보·외교 핵심 인물에 대한 북한의 해킹 공격이 있었다(6월18일자 ‘[단독]북한, 안보·외교라인 전방위 해킹...윤건영·박선원·최종건’ 기사 참조).
이와 관련해 익명을 요구한 사이버 보안업체 관계자는 “원자력연구원을 시작으로 정부 당국이 감춰 뒀던 북한의 해킹 문제가 수면 위로 떠올랐다”면서 “해킹을 당한 기관도 문제지만 가장 먼저 책임을 물어야 할 곳은 북한이 아닌가. 현재 우리 정부는 가해자는 놔두고 피해자만 몰아세우고 있다. 문재인 정부의 정책 방향대로 남북이 잘되는 것도 중요하지만, 해킹 가해자인 북한에 따질 것은 따져야 한다”고 주장했다.
