인도 원자력 당국은 악성코드에 감염된 것은 원전 관리 연결망이라면서 발전소는 네트워크 분리 시스템이 적용돼 있어 원전 설비체계에는 영향을 끼치지 못했다고 설명했다.
미국의소리방송(VOA)은 이번 공격에 대한 분석에 참여한 보안 연구원들은 백도어 악성코드인 'Dtrack'을 활용해 해킹을 벌인 정황이 포착됐다며, 북한 추정 해킹조직 '라자루스'가 연루됐을 가능성을 제기했다고 1일 전했다.
러시아 민간 보안업체 카스퍼스키 분석에 따르면 라자루스가 개발한 악성코드로 최근 인도 은행의 현금인출기 해킹과 2017년 워너크라이 랜섬웨어와 동일한 암호코드를 사용한 것으로 파악됐다. Dtrack은 감염된 시스템의 정보를 수집하고 감염된 컴퓨터를 상시 감시 또는 조종할 수 있는 정찰 도구라고 설명했다.
VOA는 미국 전문가들의 말을 인용해 북한이 현금이나 금융정보 탈취에만 열을 올리는 것은 아니라 원전 등 에너지산업 분야를 해킹한 정황이 수 차례 포착됐다고 덧붙였다.
북한 사이버 문제를 연구해온 미국 외교정책위원회 제니 전 연구원은 VOA "북한이 특정 정보를 탈취하거나 그 정보를 이용해 공작을 하기 위해 에너지산업 분야도 공격했다"면서 2014년 돈을 탈취하려한 한국수력원자력 해킹 사건을 사례로 들었다.
제니 전 연구원은 북한 해킹조직의 인도 원전 공격 의도가 정보 탈취인지, 정보 탈취를 통한 자금 확보 차원인지 명확히 알기 어렵다고 말했다.
해킹 공격에 사용된 악성코드에서 발전소와 관련된 컴퓨터 내장 정보가 발견된 것으로 볼 때, 북한이 발전소 자체를 겨냥했을 가능성이 있다고 그는 주장했다.
민주주의수호재단의 매튜 하 연구원도 북한이 2017년부터 1년 이상 미국과 유럽의 전기, 수도, 공공설비, 석유, 가스 회사 등을 해킹했다는 미국 사이버보안업체 맥아피의 연구 결과를 예로 들며, 에너지산업 분야 해킹은 북한의 오랜 관심사였다고 말했다.
박희준 글로벌이코노믹 기자 jacklondon@g-enews.com