머니투데이

최근 한국수력원자력의 원전 도면 네차례 유출로 비난을 받고 있는 한수원이 이미 2년전 감사에서도 사이버테러에 대해 취약한 것으로 지적된 사실이 드러났다. 감사원 관계자는 22일 머니투데이 더300과 한 통화에서 "한수원은 2012년 12월 5일 공개된 '국가핵심기반시설 위기관리실태' 감사결과에서 원전 감시제어시스템 등을 포함해 내부 시스템이 사이버 공격에 취약하다고 조사된 사실이 있다"고 공식 확인했다. 감사원의 2012년 한수원 관련 감사 결과에 따르면 당시 한수원은 원전 운전이나 기기변화를 감시하는 위한 중앙감시제어시스템(SCADA시스템)과 총무·인사·회계 등 일반 업무 처리를 위한 내부망을 연결해 사용하고 있었다. '국가 정보보안 기본지침' 제74조에 따르면 운전·감시변수에 오류를 일으킬 수 있는 악성코드가 침투하는 것을 방지하기 위해 SCADA시스템을 내부 업무망이나 인터넷 등 다른 정보통신망과 분리해 폐쇄망으로 운영하도록 규정하고 있다. 그러나 한수원에서는 일부 직원이 업

사정 당국이 한국수력원자력 내부자료 유출 사건이 오랜 시간 준비된 전문가의 소행이라고 보고 범인을 특정하는데 수사력을 쏟고 있다. 당국은 자료를 빼돌린 인물을 찾는 것이 추가 범행을 막을 유일한 길이라 보고 있지만, 사이버 범죄 수사의 특성상 오랜 시간이 필요할 것이라는 예상이 나온다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 자칭 '원전반대그룹'이 추적을 피하기 위해 포털 사이트 네이버 ID를 도용하고 인터넷주소(IP주소)를 우회한 사실을 확인했다고 22일 밝혔다. 수사 초기 단계로 범인이 확인되지 않았지만 합수단은 전문가가 계획적으로 저지른 범행이라고 보고 있다. 합수단 관계자는 "고도의 전문성을 가진 집단 또는 개인이 상당 부분을 준비해 (범행을) 저지른 것으로 보인다"고 말했다. 합수단은 수사에 상당 시간이 걸릴 것으로 내다보고 있다. 한 관계자는 "사이버 범죄의 특성상 다른사람의 이름을 쓰거나 국경 없이 전 세계의 IP를 이용하는 경우도 있어 추적이 어렵다"며

한국수력원자력의 원전 설계도면 등 내부기밀문서를 유출한 해커그룹이 크리스마스를 전후로 2차 파괴공격 실행을 예고하면서 현실화 가능성에 귀추가 주목되고 있다. 일단 원자력발전소 제어시스템은 물리적으로 외부와 차단된 만큼 원전시설에 대한 직접적인 타격은 극히 어려울 것으로 전문가들은 분석하고 있다. 그러나 인터넷과 연결된 내부 업무시스템에 대한 공격 가능성은 과거 '3.20 대란'때와 마찬가지로 얼마든지 있을 수 있다는 진단이다. 당시 방송사, 금융사 등 내부 업무시스템에 침투한 악성코드가 사내 PC들을 망가뜨리면서 방송 송출이나 인터넷 뱅킹 시스템 업무에 차질을 빚은 바 있다. 이에 대해 한수원측은 "추가적인 사이버 공격 영향은 없을 것"이라고 반박했다. 이는 지난 9일 이후 발견된 한수원 등을 노린 악성코드를 분석한 결과, PC내 각종 정보를 빼내는 백도어 기능과 함께 하드 디스크의 마스터부트리코드(MBR)를 손상시켜 PC를 무용지물로 만드는 기능도 탑재돼 있었는데, 이들 악성코드

한국수력원자력이 내부정보 유출사건과 관련 보안전문가들은 터질게 터졌다는 반응이다. 허술한 보안관리가 수차례 지적됐지만 변화가 없었기 때문. 전문가들은 여전히 한수원과 정부의 대응이 적극적이지 못하다는 점이 더 큰 문제라고 지적했다. 22일 복수의 보안전문가들은 이번 한수원 해킹 사고 조사가 범인을 특정하는데 집중하고 있는데, 한수원 자체 보안 점검은 물론 일부 네트워크 접근을 잠정 차단하는 등 대책이 시행돼야한다고 말했다. KAIST 등에서 보안연구를 해온 전문가 A씨는 "핵심은 온라인상 위협을 실시간으로 대응할 수 있는가 인데, 한수원 제어시스템 등은 전혀 준비되지 못한 상태"라며 "안전하다는 발표만 되풀이할 것이 아니라 모든 단말기까지 시스템을 점검해서 피해 상황과 위험요소 제거방법 등을 하루빨리 분석·시행해야 할 때"라고 말했다. 특히 폐쇄망만 믿고 있는 중앙의 제어시스템 보안 방식은 이미 10년 전부터 전문가들이 그 위험성을 지적했고, 특히 2010년에는 국가 기간시설 중앙

"한수원이 얼마나 많은 정보가 어떤 경로로 유출됐는지 아직 내부 파악조차 못한 상태에서 해명이 그런 식이라면 곤란하다." 임종인 고려대 정보보호대학원장은 22일 머니투데이와 통화에서 한국수력원자력 원전자료 해킹사건과 관련 이같이 밝혔다. 한수원은 지난 21일 새벽 1시30분경 트위터를 통해 추가로 공개된 4건의 내부 문건과 관련, "기밀문서가 아니며 기존에 공개된 자료와 비슷한 수준의 일반 기술 자료"라며 "원전 안전에 미치는 영향은 없다"고 해명했다. 북한 사이버 전력 전문가인 임 원장은 "한수원이 지금 정확히 어떤 정보가 어떤 경로로 유출됐는지 파악조차 하지 못한 상태에서 원전 안전에 미치는 영향이 없다고 해명한 것은 문제"라며 "원자력발전소의 내부망, 제어망이 감염됐는지 여부조차 파악 못한 상태"라고 말했다. 제어망은 원자력발전소를 컨트롤하는 네트워크이며, 내부망은 외부 인터넷과는 차단되고 외부에 노출되지 않은 PC들로 연결된 원자력발전소의 네트워크를 뜻한다. 임 원장은 "외부

원자력발전소 도면 등 유출된 한국수력원자력 문서를 추가 공개한 해킹그룹이 2차 파괴를 경고하면서 원자력 시설 자체에 대한 안정성 우려가 증폭되고 있다. 모두 4차례 걸쳐 유출 원전자료를 공개한 원전반대그룹 후엠아이(WHO AM I)는 지난 21일 새벽 트위터를 통해 "크리스마스(25일) 직전까지 고리 1, 3호기 원전 가동을 중단하지 않을 경우, 추가 유출자료 공개와 함께 2차 파괴를 실행하겠다"며 한수원과 원전에 대한 추가 공격을 예고했다. 앞서 이들이 19일 오후 SNS에 올린 글에서 "원전 인근의 주민들은 크리스마스부터 몇달 동안 원전에서 피하라"고 언급, 시설 파괴 가능성도 암시했다. 이에 대해 한수원측은 "만일의 사태인 사이버 공격이 있더라도 원전 제어망은 외부와 완전히 분리돼 있어 발전소 안전운전에는 아무런 영향이 없다"고 밝히고 있다. 과연 사이버 공격을 통한 국가기반시설을 파괴하거나 마비시키는 이른바 '파이어세일 공격'은 과연 현실화될 수 있을까. 최고 수위 해킹기술로

한국수력원자력 내부자료 유출 사건 수사에 착수한 검찰이 범인을 특정하는데 수사력을 쏟고 있다. 검찰은 자료를 빼돌린 인물을 찾는 것이 추가 범행을 막을 유일한 길로 보고 있다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 '원전반대그룹'이라고 밝힌 단체가 추적을 피하기 위해 네이버 ID를 도용하고 인터넷주소(IP주소)를 우회한 사실을 확인했다고 22일 밝혔다. 검찰은 원전반대그룹이 사용한 네이버 ID의 가입자 정보를 토대로 21일 가입자의 대구 주소지 등에 수사관들을 보내 PC와 서버를 수색했지만 ID가 도용한 사실만 확인했다. 검찰은 해당 글을 올린 IP를 추적해 실제로 이 글을 어디로 올렸는지 수사 중이다. 검찰은 또 원전반대그룹이 트위터를 이용한다는 점을 고려해 미국에 국제공조수사를 요청하고 있으며 고리, 월성 원전에 수사관을 파견해 직원, 관련자 PC를 받아 분석 중이다. 원전 직원에 대한 조사도 병행된다. 검찰은 이번 범행이 북한과 관련이 있을 수도 있다고 보고 있다

한국수력원자력 내부자료 유출사건이 지난해 3·20 사이버테러 등과 비슷하다는 전문가 의견이 제기되고 있다. 공격 시발점으로 의심받는 악성코드 소스 등 공격방식이 유사하다는 분석이다. 또한 한수원 외 주요 기간산업 관련 공기업들도 안전하지 않다는 우려도 크다. 21일 보안전문가들에 따르면 이번 한수원 내부자료 유출사건이 지난해 3월 20일 KBS와 MBC, YTN 등 주요 방송사와 신한은행, 농협 등 금융기관의 인터넷 웹사이트가 마비된 사태와 유사한 공격형태를 띠고 있다. 이에 따라 북한 소행이라는 의견도 힘을 얻고 있다. 당시 3·20 사이버테러는 북한정찰총국 소행으로 추정된다는 수사 결과가 발표된 바 있다. 지난 15일 처음 한수원 내부자료를 공개한 범인은 스스로 '원전반대그룹'이라고 밝히면서 이날까지 총 네 차례에 걸쳐 자료를 공개했다. SNS(소셜네트워크서비스) 트위터를 통해 자신이 해킹으로 얻은 핵심 정보들을 공개하겠다며 원전가동 중단 등을 요구하고 있다. 보안업계에서는 지난

한국수력원자력 내부자료를 지속 유출 중인 '원전반대그룹'이 21일 돈과 자료의 교환을 언급했다. 정부 합동수사단은 이들에 대한 본격적인 수사에 착수했다. 지난 15일부터 지속적으로 한수원 자료를 유출하고 '원전 가동 중단'을 요구하고 있는 원전반대그룹은 21일 새벽 4차 유출을 단행했다. SNS(소셜네트워크서비스) 트위터를 통해 원전 도면과 매뉴얼 등을 추가로 공개하고 "자료 회수를 원한다면 돈을 부담해야 할 것"이라고 주장했다. 이번에 4개의 압축파일의 형태로 유출된 자료는 고리 2호기와 월성 1호기 관련 내부 문서, 원전에서 사용하는 프로그램인 MCNP5와 BURN4 매뉴얼 등이다. 고리 2호기는 공조기와 냉각시스템 도면, 월성 1호기는 밸브 도면 등이 트위터를 통해 공개됐다. 이들은 앞서 성탄절부터 고리1,3호기, 월성 2호기를 가동 중단하는 조치를 취하라고 요구한 바 있다. 아울러 이날 한수원에 "이런 식으로 나오면 아직 공개하지 않은 10만장 자료를 공개할테니 제대로 당해

한국수력원자력의 원전 도면이 유출돼 사정 당국이 수사에 나섰다. 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 현재 유출 경로와 범인을 추적 중이라고 21일 밝혔다. 한수원은 추가로 유출되는 사태를 막기 위해 예방 활동을 벌이고 있다. 합수단은 유출된 자료의 성격과 양 등을 고려할 때 사안이 중대하다고 판단, 직접 사건을 수사하기로 결정했다. 앞서 한수원은 원전의 도면과 직원 개인정보 등이 인터넷에 유출된 사실을 확인하고 검찰에 수사를 의뢰했다. 유출된 자료는 월성 1호기 관련 도면과 월성·고리원전 자료, 원전 근처 주민들에 대한 방사선량 평가 프로그램 등이다. 대검 사이버범죄수사단은 지난 18일 한수원 현장 조사를 거쳤고, 합수단은 IP를 추적하는 한편 고리 월성 원전에도 수사관 등을 파견해 추적을 벌이고 있다. 한수원의 데이터센터를 해킹했다고 주장하는 집단은 자칭 'Who am I?'라는 이들로, 스스로 원전 반대그룹이라고 주장하는 것으로 전해졌다.

한국수력원자력을 비롯한 일부 에너지공기업이 이달 초 악성코드 공격을 받은 것으로 드러났다. 20일 산업통상자원부에 따르면 지난 9일 한수원 직원들은 악성코드가 담긴 이메일을 받았다. 해당 이메일은 한수원 외에도 2~3곳의 에너지공기업에도 함께 보내진 것으로 확인됐다. 한수원 직원들이 받은 이메일에는 하드디스크를 파괴하는 악성코드가 담긴 '제어프로그램'이라는 이름의 파일이 첨부돼 있었다. 이메일을 받은 일부 직원이 해당 파일을 열면서 하드디스크에 저장된 내부 자료가 빠져나간 것으로 확인됐다. 한수원 관계자는 "당시 악성코드 공격으로 백신 업데이트, 해당 컴퓨터를 내부 전산망에서 분리하는 등의 즉각적인 조치를 취했다"며 "유출된 자료의 대부분은 직원 교육용으로 만들어진 일반자료로, 비밀자료는 아니다"고 설명했다. 이로 인해 지난 18일과 19일 해커로 추정되는 이들이 인터넷 블로그에 공개한 한수원의 내부자료가 당시 악성코드에 감염된 한수원의 컴퓨터에서 빠져나갔을 가능성이 대두되고 있다.

원전 해킹우려가 고조되는 가운데 산업통상자원부가 원전 제어망에 대한 해킹 피해 흔적이 발견되지 않았다고 19일 밝혔다. 윤상직 산업통상자원부 장관은 18일 밤 한수원 사장 등이 참석한 가운데 한국기술센터에서 긴급점검회의를 개최했다. 산업부는 회의 결과 원전 제어망에 대한 해킹 피해흔적은 발견되지 않았으며 원전이 안전하게 관리되고 있음을 확인했다고 밝혔다. 산업부 관계자는 "원전 제어망은 처음부터 폐쇄망으로 운영되도록 설계돼 있다"며 "정보통신기반보호법에 의거, 국가 주요 정보통신기반시설로 지정되어 보호 관리되고 있다"고 설명했다. 정부는 한수원을 비롯한 주요 에너지 유관기관에 대해 기관장 책임하에 제어망에 대한 USB 봉인확인 등 철저한 보안관리와 업무망에 대한 사이버 경계태세 강화를 지시했다. 특히 인터넷망에서 업무망으로 자료를 보낼 때는 결재권자의 승인 후 전송토록 하고 출처가 불분명한 메일 열람 금지, 열람 시 즉시 신고 등을 통해 피해 확산 방지 등의 대책도 즉시 시행토록