해킹 사고를 통해 일부 문서가 유출된 한국수력원자력이 올 7월 악성코드에 감염됐을 가능성이 제기됐다.
국내 보안업체 빛스캔은 모니터링 결과 7월에 한수원 직원들만 이용하는 모두투어의 한수원 전용 사이트에서 악성코드가 유포된 정황을 발견했다고 29일 밝혔다. 이 사이트는 여행사인 모두투어가 한수원 직원들을 위해 개설한 곳으로 일반인은 이용할 수 없다. 빛스캔은 보안 탐지용 로봇 소프트웨어를 이용해 국내외 410만개의 웹 사이트를 모니터링해 악성코드를 추적하는 일을 하고 있다.
악성코드가 유포된 7월은 여름 휴가철이어서 한수원 직원들이 많이 이용했을 가능성이 있다. 문일준 빛스캔 대표는 “보안이 취약한 컴퓨터(PC)를 사용하는 한수원 직원이 문제의 여행 사이트에서 악성코드에 감염된 뒤 내부망에 접속했다면 악성코드가 내부에 유포됐을 수 있다”며 “이런 내용을 2주전 국가정보원에 전달했다”고 말했다.
문제의 악성코드는 흔히 발견되는 것으로 금융정보 탈취용이다. 감염된 PC에서 공인인증서를 탈취하고 내부 정보를 빼내는 것은 물론이고 원격 조정 기능을 이용해 파일까지 전송한다. 문 대표는 “악성코드 분석결과 윈도, 어도비 플래시, 자바 등의 8가지 취약점을 노린 ‘카이홍 키트’가 공격에 사용됐다”며 “내부망 감염 여부는 알 수 없으나, 감염시 내부 자료를 충분히 빼낼 수 있는 악성코드”라고 설명했다.
특히 이 악성코드는 감염 PC를 창구 삼아 같은 전산망에 접속된 다른 PC와 데이터베이스 서버 등에 접근할 수 있는 기능까지 갖고 있는 것으로 알려졌다. 문 대표는 “원격 조종 도구를 감염PC에 설치하는 기능을 갖고 있다”며 “설치 여부는 알 수 없으나 원격 조종 기능이 작동됐다면 해커가 다른 PC와 서버의 자료까지 살펴볼 수 있다”고 밝혔다.
따라서 한수원 PC가 문제의 악성코드에 감염됐다면 장기간 잠복하며 내부 정보를 빼돌렸을 가능성이 있다. 문 대표는 “점차 공격 범위를 넓히며 정보를 빼가는 점이 최근 지능형공격(APT)의 특징”이라며 “악성코드가 한수원 직원의 PC를 감염시켰다면 내부 침입을 위한 진입점으로 삼아 오랜 기간 활동했을 수 있으니 광범위하게 조사해야 한다”고 밝혔다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0