[글로벌-이슈 24]북한 해킹조직 이번에는 인도 원전 공격?...에너지산업 노린다

북한 해킹조직 '라자루스'가 에너지 산업을 노리는 것으로 나타났다. 이번에는 인도 원자력발전소를 공격했다는 주장이 제기됐다.


인도원자력공사(NPCIL)는 지난 30일 성명을 내고 쿠단쿨람 원자력발전소의 행정연결망에서 악성코드가 발견돼 원전 1기 네트워크 가동이 중단됐다고 밝혔다. 이번 발표는 당초 인도 원자력공사가 해킹 공격을 받은 사실을 부인한 지 하루만에 나왔다.

인도 원자력 당국은 악성코드에 감염된 것은 원전 관리 연결망이라면서 발전소는 네트워크 분리 시스템이 적용돼 있어 원전 설비체계에는 영향을 끼치지 못했다고 설명했다.

미국의소리방송(VOA)은 이번 공격에 대한 분석에 참여한 보안 연구원들은 백도어 악성코드인 'Dtrack'을 활용해 해킹을 벌인 정황이 포착됐다며, 북한 추정 해킹조직 '라자루스'가 연루됐을 가능성을 제기했다고 1일 전했다.

러시아 민간 보안업체 카스퍼스키 분석에 따르면 라자루스가 개발한 악성코드로 최근 인도 은행의 현금인출기 해킹과 2017년 워너크라이 랜섬웨어와 동일한 암호코드를 사용한 것으로 파악됐다. Dtrack은 감염된 시스템의 정보를 수집하고 감염된 컴퓨터를 상시 감시 또는 조종할 수 있는 정찰 도구라고 설명했다.

VOA는 미국 전문가들의 말을 인용해 북한이 현금이나 금융정보 탈취에만 열을 올리는 것은 아니라 원전 등 에너지산업 분야를 해킹한 정황이 수 차례 포착됐다고 덧붙였다.

북한 사이버 문제를 연구해온 미국 외교정책위원회 제니 전 연구원은 VOA "북한이 특정 정보를 탈취하거나 그 정보를 이용해 공작을 하기 위해 에너지산업 분야도 공격했다"면서 2014년 돈을 탈취하려한 한국수력원자력 해킹 사건을 사례로 들었다.
'원전반대그룹'을 사칭한 북한 추정 해커들이 "원전 가동을 중단하지 않으면 원전 설계도면을 공개하겠다"며 위협하고, 한수원 자료를 해킹해 입수한 원전 설계도면과 임직원 개인정보 등을 폭로해 현금을 갈취하려 한 사건이 있었다고 그는 주장했다.

제니 전 연구원은 북한 해킹조직의 인도 원전 공격 의도가 정보 탈취인지, 정보 탈취를 통한 자금 확보 차원인지 명확히 알기 어렵다고 말했다.

해킹 공격에 사용된 악성코드에서 발전소와 관련된 컴퓨터 내장 정보가 발견된 것으로 볼 때, 북한이 발전소 자체를 겨냥했을 가능성이 있다고 그는 주장했다.

민주주의수호재단의 매튜 하 연구원도 북한이 2017년부터 1년 이상 미국과 유럽의 전기, 수도, 공공설비, 석유, 가스 회사 등을 해킹했다는 미국 사이버보안업체 맥아피의 연구 결과를 예로 들며, 에너지산업 분야 해킹은 북한의 오랜 관심사였다고 말했다.

박희준 글로벌이코노믹 기자 jacklondon@g-enews.com