국내 원자력발전소를 관리하는 한국수력원자력 해킹에 사용된 악성코드는 이메일을 통해 유포되는 취약점 한글 문서파일에 담겨 있었습니다.
한수원 일부 임직원들이 정체 불명의 발신자로부터 받은 이메일에는 '제어 프로그램'이라는 이름의 한글(hwp) 파일이 첨부됐습니다.
이 파일에는 기존에 존재했던 백도어(정보 유출) 기능 외에 주요 확장자 파일들에 대한 파괴 및 마스터부트레코드(MBR) 파괴기능을 갖는 파일도 함께 들어있었습니다.
수신자가 이메일 첨부파일을 열어보면 악성코드가 깔리면서 컴퓨터가 다시 켜지고 모니터에 'Who am I?'라는 영문 메시지가 뜹니다. 그 사이 하드디스크에 있는 자료는 외부로 빠져나가고 하드디스크는 사용할 수 없게 됩니다.
보안업계는 최초 해킹 공격이 일어난 9일 직후 각종 자료 및 보고서 등을 통해 'Who Am I?'처럼 이메일을 통해 유포되는 악성코드를 주의하라고 당부했습니다.
한수원은 9일 해킹을 인지하자 이를 사이버관제센터에 신고했고, 안랩에도 알려 이번 악성코드에 관한 백신을 만들어줄 것을 요청했습니다.
한수원 관계자는 "한수원에서 자체적으로 먼저 해킹을 감지한 뒤 이를 막기 위해 안랩에 알린 것"이라며 "안랩에서 만들어준 백신을 받자마자 바로 적용했고, 보안업계는 우리 신고 내용을 바탕으로 보고서 및 자료를 작성해 다른 기관에도 주의를 당부한 것으로 보인다"고 설명했습니다.
안랩은 10일 자사 블로그에 'Who am I?'라는 글을 올려 컴퓨터 부트영역을 덮어씌우는 바이러스가 있으니 주의하라고 당부했고, 하우리의 경우 12일자 자료를 통해 관련 내용을 전했습니다.
안랩은 특히 "12월10일 오전 11시 이후에 MBR 파괴기능이 작동하도록 설계됐고 MBR 감염 후 재부팅시 'Who Am I'라는 글씨가 뜬다"고 그림 등을 통해 상세히 전하며 그 위험성을 강조했습니다.
이에 대해 안랩은 "블로그에 이메일을 통해 유포되는 한글취약점 악용 악성코드에 대한 분석내용을 내놓았으나 특정 공격대상이나 기관 및 단체에 대한 언급은 없었으며 이메일 첨부파일에 대한 주의를 당부하는 차원에서 분석내용을 공개한 것"이라고 밝혔습니다.
한수원 관계자는 "보안업계가 해킹 공격 사실을 한수원으로부터 듣고 핵발전소 등 다른 기관 보안담당자들에게 이에 대한 주의를 요구했을 것"이라고 설명했습니다.
한편 하우리 측은 9일에 MBR파괴 악성코드가 발견되기 전에 임직원 개인PC 등에 저장된 정보가 유출됐을
보안업계는 14일부터 원자력발전과 국방·안보 기관을 대상으로 한글문서 취약점을 이용한 지능형지속위협(APT) 공격이 감지됐다며 비상대응에 들어갔습니다.
하지만 해킹된 한수원 기밀 파일들은 네이버 블로그를 통해 18일 저녁까지 무방비로 공개돼 정부의 초동 대처가 허술했던 것 아니냐는 지적이 계속 나오고 있습니다.