“믿어달라”는 한수원, 어찌 믿으오리까

전국 인터넷망을 마비시켰던 2003년 ‘1·25 인터넷 대란’부터 2013년 3월 주요 언론사와 금융권 전산망을 마비시킨 ‘3·20 사이버 공격’까지 크고 작은 사이버 테러가 계속 발생하고 있다. 그동안 사이버 공격은 주로 전산망이나 서버에 피해를 끼치는 수준이었다. 하지만 이번 한국수력원자력(한수원)의 해킹 사건은 보안문서를 유출시키고 추가 공격을 예고하는 등 이전과는 전혀 다른 양상이었다. 특히 거대 사고를 일으킬 수 있는 핵발전소를 공격 대상으로 삼았다는 점에서 더욱 심각하다.

당하고도 추가 대응 없던 한수원

지금까지 알려진 내용을 종합해보면, 한수원 해킹은 2014년 12월9일부터 시작됐다. 자칭 ‘원전반대그룹’ 혹은 ‘Who am I?’라고 알려진 해커(또는 해커집단)는 한수원 직원의 이름으로 다른 직원들에게 수백 통의 전자우편을 보냈다. 전자우편에는 “증기발생기 자동 감압 내용 참조하세요”와 같은 업무를 떠올리는 내용이 담겨 있었고, 첨부된 한글파일 역시 업무용 문서였다. 하지만 첨부문서에는 악성코드가 숨겨져 있었다. 이 문서를 열어본 컴퓨터는 악성코드에 감염됐다. 악성코드에는 이른바 ‘제로데이 공격’(Zero Day Attack)이라는 방법이 사용됐는데, 이는 프로그램 보안패치가 나오기 전에 기존 프로그램의 보안 허점을 이용하는 방법이다. 이와 같은 방식을 사용하면 백신 프로그램으로 악성코드를 찾기 힘들다. 또한 사용자는 정상적인 문서파일을 읽은 것으로 이해하기 때문에 자신의 감염 여부도 알기 힘들다.

이 악성코드의 존재는 전자우편이 발송된 다음날(12월10일) 보안업체 ‘안랩’의 보고서를 통해 알려진다. 보안업체는 악성코드 신고가 들어오면 이를 백신 프로그램에 반영한 이후 추가 피해를 막기 위해 그 내용을 공개한다. 안랩 보고서에 따르면 악성코드는 이날 오전 11시에 작동을 시작해 컴퓨터의 부트 영역을 파괴하고 부팅화면을 ‘Who am I?’로 바꿔버린다. 이것이 해커가 밝힌 ‘1차 공격’이다. 바꿔보면 한수원은 12월10일에 해커의 공격을 알고 있었다는 말이다. 하지만 한수원은 추가적인 대응을 하지 않았다.

반면 해커의 공격은 이 정도 수준에 머무르지 않았다. 해커는 12월15일 블로그와 트위터 계정을 개설하고 자신이 확보한 문서를 인터넷에 공개했다. 그는 6개의 글을 올리면서 자신을 ‘원전반대그룹’이라 밝히고 100억달러에 달하는 ‘국민 친환경 건설자금’을 스위스은행 등에 입금하라고 요구한다. 이와 함께 아랍에미리트(UAE) 왕세제에게 보내는 박근혜 대통령의 친서와 한수원 전체 직원의 개인정보 파일을 올린다. 해커는 단지 블로그에 글만 띄우는 것이 아니라, 자신의 활동을 인터넷상에 알리기 위해 여러 가지 노력을 한다. 블로그에 자료를 띄운 직후 다른 포털 사이트 게시판에 핵발전소가 해킹을 당했다며 자료가 공개된 블로그 주소를 올리는가 하면, 트위터에선 영어로 해당 사실을 알리기도 했다. 주요 공중파 뉴스 트위터 계정에 메시지를 보내거나, 기자에게 전자우편을 보내 자신이 한수원을 해킹했다는 사실을 적극 알린다.

구체적이고 적극적이었던 해커의 요구

언론에서는 12월17일 오전부터 관련 사실을 보도했다. 사실 블로그엔 대통령 친서 등 다양한 문서가 공개됐지만, 언론들은 모두 한수원 전체 직원의 개인정보 유출에만 초점을 맞췄다. 한수원의 대응도 딱 거기까지만 이뤄졌다. 한수원은 12월18일 점심 무렵에 나온 보도자료에서 “유출된 개인정보가 친목을 위한 사외 인터넷망 자료로 추정된다”며 관련 사이트를 폐쇄하고 유출 경위를 조사 중이라고 밝혔다. 이미 자신을 드러낸 ‘원전반대그룹’에 대한 언급이나 함께 유출된 대통령 친서, 각종 문서에 대한 언급은 전혀 없었다. 한수원이 자료 유출 사실조차 제대로 모르고 있었다는 비판이 나오는 이유다.

[%%IMAGE2%%]반면 해커는 더욱 적극적인 활동을 벌인다. 한수원의 대응 자료가 나온 직후인 12월18일 오후 3시께 ‘원전반대그룹’은 설계도면 등 2차 공개 자료와 메시지를 블로그에 올렸다. ‘1차 공격’은 하드디스크 몇 개를 파괴하는 것에서 끝났지만 2차 공격은 제어 시스템 파괴라며 메시지의 수위는 더욱 높아졌다. 이에 따라 한수원 해킹 사건은 세상에 본격적으로 알려지게 되었다. 최초 공격이 벌어진 지 10일째, 해커가 블로그를 통해 자신을 알린 지 4일째 되는 날의 일이다. 해커 스스로 자신을 적극적으로 알렸음에도 이때까지 제대로 대응하지 못했다는 것은 사건 초기 대응이 얼마나 어설펐는지를 보여주는 증거다.

그 뒤로 해커는 12월23일까지 모두 5차례로 나눠 핵발전소와 관련한 문서를 공개했다. 이들 문서에는 핵발전소의 도면과 각종 프로그램 실행화면 등이 포함돼 있었다. 해커의 요구사항도 “크리스마스부터 석 달간 고리 1·3호기, 월성 2호기 가동 중지”로 매우 구체적이었다. 여야는 물론 박근혜 대통령까지 이 문제의 심각성에 강력히 대처해야 한다며 목소리를 높였다. 그러나 한수원은 초지일관 이들 문서가 ‘교육용 문서’이거나 ‘오래전에 작성된 문서’라는 점만을 강조했다. 또한 핵발전소 제어망은 인터넷과 완전히 분리돼 있어 “안전하다”는 입장만 반복했다. 원심분리기 1천 개가 파괴된 2010년 이란의 스턱스넷 공격처럼 망분리에도 USB 드라이브를 통해 망이 공격받을 수 있는 가능성이 있다는 보안전문가들의 지적은 항상 뒷전으로 밀려나는 느낌이다. 초기 대응 부실과 “믿어달라”는 식의 정부 대응은 오히려 국민을 더 불안하게 만들고 있다.

“위험할 수 있다”는 자세로 나서야

사실 우리나라는 핵발전소 사이버 공격에 대한 매뉴얼조차 마련돼 있지 않다. 원자력안전위원회와 산업통상자원부가 공동 작성한 ‘원전안전분야’ 위기관리 매뉴얼에는 위기 사례로 방사선 누출과 노동조합 파업시 대응책만 담겨 있다. 심하게 말하면 방사능이 누출된 이후 상황은 있지만, 이를 위협할 경우에는 별다른 방법이 없는 것이다. 특히 물리적 공격이 아닌 사이버 공격에 대해서는 더욱 대비책이 없다. 다행히 이번 크리스마스는 무사히 지나갔다. 하지만 언제 또다시 ‘2차 공격’이 예고될지, 또는 다른 해커에 의해 공격이 이뤄질지는 알 수 없다. 지난 크리스마스 기간 동안 고리와 월성 핵발전소 인근 주민들은 혹시 모를 불안감에 밤잠을 설쳤다. 세계 최대 핵발전소 밀집국, 대한민국 국민의 걱정거리가 하나 더 늘었다. 이제는 ‘괜찮다’ ‘안전하다’가 아니라, ‘위험할 수 있다’는 마음가짐으로 정부가 나설 때다. 그리고 이 걱정거리 핵발전소를 어떻게 해야 할지 전 국민이 다시 한번 생각해볼 때다.

이헌석 에너지정의행동 대표