북한 해커 한국원자력연구원 해킹 사례

오늘은 오랜만에 오후에 에세이를 쓰게 되었는데요. 회사 일이 워낙 바빠서 하루 이틀 정도 쉬어갈까 하다가, 짧더라도 꾸준히 써야지 앞으로도 쭉 글을 쓸 수 있을 것 같아 마음을 잡고 쓰게 되었습니다. 이번에는 한국원자력연구원이 북한 해커에 의해 해킹 당한 사례에 대해서 말씀드릴까 합니다. 사실 이전에 발생한 한수원 사건이라든지 인터파크 해킹의 배후도 북한에서 지원하는 해커 조직이었다고 하는데요. 오늘은 이 부분에 대해서 간단히 말씀드리도록 하겠습니다.

​

이번 공격을 감행한 북한 해커 조직은 '김수키(kimsuky)'라고 부르는 단체입니다. 이 해커 조직은 이전부터 꾸준히 국내의 제약사나 기업들을 공격해 왔는데, 이번 한국원자력연구원 사건을 조사해보니 비슷한 IP를 통해 해킹이 된 것을 발견해서 알게되었다고 합니다. 그런데 아직까지 구체적인 피해 규모를 산정하지 못하고 있다는 것으로 보아, 해커가 서버로 침투한 후에 이벤트나 행위 로그를 지워 흔적을 남기지 않은 것으로 보이는데요. 만약 핵심 기술이 담긴 문서가 유출되었거나 하면, 역사에 길이 남을 보안 사고로 기록되지 않을까 싶습니다.

​

이번 해킹의 경우 가상사설망이라고 하는 VPN(Virtual Private Network) 프로그램의 취약점을 통해서 이뤄졌다고 합니다. 이 VPN은 코로나로 인해 재택근무 증가하면서 대부분의 기업에서 사용하고 있는데, 이에 대해서 간략하게 말씀드려보죠. 집에서 회사의 PC에 접속해서 업무를 보기 위해서는 회사의 내부 네트워크에 접속해야 할겁니다. 그러면 회사에 있는 내부 네트워크에 접속해 있는 것처럼 도와주고, 중간에 해커가 정보를 가로채더라도 무슨 데이터를 전송하는지 알 수 없도록 암호화도 해야할텐데, 이런 것들을 가능하게 해주는게 VPN이라고 생각하시면 됩니다.

​

보통 사람들에게는 일반적으로 인터넷으로 접속할 수 없는 사이트를 우회하는데 사용하는 프로그램으로 더 알려져 있는데요. 만약 한국에서 A라는 사이트를 접속하지 못하게 막아놨다면, VPN을 이용해서 미국에 있는 특정 네트워크에 접속해서 A 사이트에 들어가면 되겠죠. 어디서 접속했는지 IP를 숨기는 것은 물론, 무슨 데이터를 전송했는지까지 암호화시켜주는 것을 VPN으로 할 수 있다고 보시면 됩니다.

​

여기까지 간단하게 VPN에 대해 설명을 드렸고, 위에서 이번 사건이 VPN 프로그램의 취약점을 통해서 발생했다고 말씀드렸는데요. VPN 프로그램에서 인증을 우회할 수 있는 취약점을 이용했거나, 중간에 클라이언트와 서버 사이의 연결정보인 세션을 가로채서 해킹을 진행하지 않았을까 싶습니다. VPN 프로그램을 만드는 기업이 여러군데 있을텐데, 아마 한국원자력연구원에서 예산을 아끼려고 가격이 싼 기업의 VPN을 사용해서 발생한 문제가 아닐까 조심스럽게 생각을 해봅니다.

 

“한국원자력연구원, 北 해커 추정 세력에 서버 뚫렸다”

 

북한 해커들이 한국의 기업들이나 공공기관을 공격해온건 이전부터 많이 있었기 때문에 크게 놀랄 일은 아닌데요. 하지만 공격을 당하고 정보가 유출되서 피해를 입은 적이 많음에도 불구하고, 여전히 보안에 대한 인식이 높아지지 않았다는게 문제인 것 같습니다. 이번 사건의 경우도 한국원자력연구원에서 해킹 사고가 없다고 발뺌하다가 국회에서 지속적인 압박을 하자 실토했다는 것으로 보아, 다른 곳도 이러한 보안 사고에 대해 안일한 대처를 하지 않았을까 걱정이 되는데요. 적어도 국가시설이나 공공기관에서는 지속적인 관리와 함께 해킹 공격에 잘 대응할 수 있도록 보안 예산을 충분히 늘리도록 정부 차원에서 나서줘야하지 않을까..라는 생각이 듭니다. 그럼 오늘 말씀드릴 내용은 여기까지고요. 다음 에세이에서 뵙도록 하겠습니다. 감사합니다.