북한 해킹조직, 인도 원자력발전소 공격…“에너지산업 해킹, 북한 주요 관심사”

북한과 연관된 것으로 추정되는 해킹조직이 인도 원자력발전소를 해킹한 것으로 나타났습니다. 전문가들은 에너지산업 분야 해킹이 북한 해킹조직의 주요 관심사였다며, 원전 정보 탈취를 통한 금전 요구 가능성을 제기했습니다. 조상진 기자가 보도합니다.

인도 원자력공사(NPCIL)는 30일 성명을 통해 쿠단쿨람 원자력발전소의 행정연결망에서 악성코드가 발견돼 원전 1기 네트워크 가동이 중단됐다고 밝혔습니다.

인도 원자력 당국은 악성코드에 감염된 것은 원전 관리 연결망이며, 발전소는 네트워크 분리 시스템이 적용돼 있어 원전 설비체계에는 영향을 끼치지 못했다고 설명했습니다.

이번 발표는 당초 인도 원자력공사가 해킹 공격을 받은 사실을 부인한 지 하루만에 나왔습니다.

이번 공격에 대한 분석에 참여한 보안 연구원들은 백도어 악성코드인 ‘Dtrack’을 활용해 해킹을 벌인 정황이 포착됐다며, 북한 추정 해킹조직 ‘라자루스’가 연루됐을 가능성을 제기했습니다.

러시아 민간 보안업체 카스퍼스키 분석에 따르면 라자루스가 개발한 악성코드로 최근 인도 은행의 현금인출기 해킹과 2017년 워너크라이 랜섬웨어와 동일한 암호코드를 사용한 것으로 파악됐습니다.

또 Dtrack은 감염된 시스템의 정보를 수집하고 감염된 컴퓨터를 상시 감시 또는 조종할 수 있는 정찰 도구라고 설명했습니다.

많은 언론들은 이번 해킹과 관련해, 북한이 공격 대상이나 활동 범위를 넓히고 있을 가능성에 주목했습니다.

과거 주로 외교기밀이나 정권의 자금 마련을 위한 금융정보 탈취에 초점이 맞춰졌던 것과는 달리 이번에는 에너지산업 분야를 목표로 삼았기 때문입니다.

그러나 미국의 전문가들은 북한이 현금 또는 금융정보 탈취에만 열을 올리는 것은 아니며, 이미 원전 등 에너지산업 분야를 해킹한 정황이 수 차례 포착됐다고 지적했습니다.

북한 사이버 문제를 연구해온 미국 외교정책위원회 제니 전 연구원은 북한이 특정 정보를 탈취하거나 그 정보를 이용해 공작을 하기 위해 에너지산업 분야도 공격했다며, 2014년 ‘한국수력원자력 해킹 사건’을 사례로 들었습니다.

[녹취: 제니 전 연구원] “North Korea actually attempted to extort money from the South Korean nuclear and hydro power plant. That is sort of a case where they happen to the subcontractors of the power plant got out Excel traded a bunch of sensitive information like some blueprints of the Power Plan some personally identifiable information about its employers, and they were using that Excel traitor.

‘원전반대그룹’을 사칭한 북한 추정 해커들이 “원전 가동을 중단하지 않으면 원전 설계도면을 공개하겠다”며 위협하고, 한수원 자료를 해킹해 입수한 원전 설계도면과 임직원 개인정보 등을 폭로해 현금을 갈취하려 한 사건이 있었다는 것입니다.

제니 전 연구원은 북한 해킹조직의 인도 원전 공격 의도가 정보 탈취인지, 정보 탈취를 통한 자금 확보 차원인지 명확히 알기 어렵다고 말했습니다.

다만, 해킹 공격에 사용된 악성코드에서 발전소와 관련된 컴퓨터 내장 정보가 발견된 것으로 볼 때, 북한이 발전소 자체를 겨냥했을 가능성이 있다고 주장했습니다.

[녹취: 제니 전 연구원] “Some of the malware had hardwired information related to the power plant into the code itself. So things like that would be more convincing evidence that North Korea or Lazarus group was deliberately targeting a power plant itself.”

민주주의수호재단의 매튜 하 연구원도 북한이 2017년부터 1년 이상 미국과 유럽의 전기, 수도, 공공설비, 석유, 가스 회사 등을 해킹했다는 미 사이버보안업체 맥아피의 연구 결과를 예로 들며, 에너지산업 분야 해킹은 북한의 오랜 관심사였다고 말했습니다.

공격 대상 자체가 새로운 것은 아니라는 설명입니다.

매튜 하 연구원은 북한이 사이버 해킹을 비대칭 공격 도구로 인식하고 있고, 사이버 공격을 통한 다양한 이득을 얻기 위해 선택권을 확보하는 차원에서 계속 새로운 목표를 찾아 나서는 것으로 보인다고 말했습니다.

[녹취: 매튜 하 연구원] “Obviously the North Koreans use cyber as an asymmetric tool that goes beyond these financially motivated attacks. I think this is really for the North Koreans to continuously be a learning organization were able to develop ideas for new targets...”

최근 인도 은행 현금인출기 해킹 공격과 이번 원전 해킹 공격에서 북한의 악성코드 유형이 동일하게 추적되고 있다는 설명입니다.

매튜 하 연구원은 북한이 한국과 미국, 유럽을 넘어 활동 반경을 넓히고 있을 가능성이 있다고 말했습니다.

VOA 뉴스 조상진 입니다.