한국원자력연구원에 해킹 사고가 발생해 현재 정부 당국이 조사에 나선 것으로 확인됐다. 현재 해킹 사고에 대한 연구원 자체 조사가 진행 중이며, 북한 해킹 그룹의 소행이라는 분석이 나오고 있다. 이 과정에서 연구원은 해킹 사실을 은폐하려는 움직임까지 보였다.
6월17일 하태경 국민의힘 의원실에 따르면, 5월14일 한국원자력연구원에 해킹 공격이 발생했다. 가상 사설망(VPN) 시스템의 취약점을 통해 ‘신원불명’의 외부인이 내부 서버에 접속한 이력이 확인된 것이다.
구체적으로 13개의 외부 인터넷 주소(IP)에서 허가받지 않은 접속이 이뤄졌다. 연구원 측은 “공격을 인지한 즉시 공격자의 IP를 차단하는 조치를 취했으며, 보안 시스템을 업데이트했다”며 “현재 구체적인 피해 상황에 대해 조사 중”이라고 밝혔다.
이번 사건에 대해 사이버 보안 전문가 사이에서는 주범으로 북한 해킹그룹을 지목하고 있다. 익명을 요구한 사이버 보안 전문가는 “해킹 코드를 정확히 분석해 봐야겠지만, 북한의 해킹으로 의심된다”면서 “해커가 관리자 권한을 탈취해 주요 정보를 빼내간 것으로 우려된다”고 밝혔다.
북한 해킹그룹은 ‘김수키’와 ‘라자루스’, ‘APT38’ 등으로 분류된다. 이들이 사용하는 해킹 코드의 유사성을 분석하면 어떤 해킹 그룹의 소행인지 알 수 있다. 사이버 보안 전문가는 “‘김수키 그룹’이 특징적으로 사용하는 패턴이 연구원 해킹 사건에서도 나타났다”고 말했다.
연구원, 일주일 사이 3번이나 입장 번복
더 큰 문제는 연구원이 해킹 피해 사실을 은폐하려고 했다는 점이다. 연구원 측은 해킹과 관련해 일주일 사이 3번이나 입장을 바꿨다.
6월11일, 해킹 피해 사실에 대해 시사저널이 취재를 시작하자 “해킹 피해가 발생해 현재 조사 중”이라고 밝혔다. 하지만 5일 뒤인 16일에는 돌연 “해킹 피해를 입은 바 없다”고 말을 바꿨다. 그런데 또 단 하루만인 17일에는 “VPN 취약점을 이용해 외부인이 시스템에 접근했다”며 해킹 피해 사실을 인정했다. 연구원 관계자는 “보안팀에서 뭔가 착오가 있었던 것 같다”고 말했지만, 피해사실을 번복한 이유에 대한 구체적인 해명은 없었다.
하태경 의원은 “과학기술정보통신부와 원자력연구원 등 관계기관 모두가 짜 맞춘 듯 ‘해킹사고는 없었다’라며 허위 보고를 했다가 구체적인 사실 관계를 따져 묻자 결국 실토했다”며 “원자력연구원은 원전과 핵연료봉 등 국가 핵심 원천기술을 연구하고 개발하는 곳인데, 이러한 중요한 사실(해킹)을 뻔뻔한 거짓말로 은폐해 국민을 속이려 한 죄가 더 크다”고 지적했다.
연구원은 IAEA(국제원자력기구)로부터 과거 핵물질 제조에 대한 조사를 받기도 했다. 2004년 IAEA는 연구원을 대상으로 핵물질인 플루토늄을 정제했다는 의혹에 대해 조사를 실시했다. 그 결과 레이저동위원소실험과 농축우라늄 생산을 지적받은 바 있다. 다만 실험 규모가 미미했고, 관련 시설이 폐기됨에 따라 최종적으로 핵무기 개발로 이어지지는 않은 것으로 결론났다. 이어 2018년에는 핵사찰 시료를 분석할 수 있는 자격을 IAEA로부터 취득해 주목받기도 했다.
이와 관련해 사이버 보안업계 관계자는 “연구원은 국내 유일의 원자력 종합 연구개발 기관으로, 국가 원자력 산업의 주춧돌로 인식될만큼 중요한 기관”이라며 “(그래서) 북한 해커들이 그동안 호시탐탐 노리고 있는 기관 중 하나였다. 지속적인 공격에 결국 보안망이 뚫린 것 같다”고 말했다.
