한수원 내부문서 유출은 '스피어피싱"..어떻게 막을까?

[이데일리 이승현 기자·방성훈 기자] 지난해 연말 한국수력원자력의 연이은 내부정보 유출사건은 악성코드를 담은 이메일을 이용한 사이버 공격인 이른바 ‘스피어피싱’(Spear Phishing)에 의한 것으로 밝혀졌다.

한수원 관계자는 22일 “악성코드를 담은 첨부파일이 한수원 임직원과 협력업체들 직원의 개인계정에 최대한 많이 뿌려졌다”며 “여기에는 (개인 계정의) 비밀번호를 탈취할 수 있는 악성코드도 있다”고 말했다.

범인들은 이를 통해 한수원 직원들과 협력업체 직원들이 회사고유 이메일 혹은 일반적인 포털사 제공 이메일을 이용해 평소 주고받는 원자력발전소 내부정보(첨부파일 형태)를 빼돌렸다. 한수원 측은 이러한 업무용 이메일이 한 사람에서 다른 사람에게 전달될 때 범인이 중간에 탈취했다고 보고 있다.

한수원 관계자는 그러나 “이번 스피어피싱은 컴퓨터 하드디스크를 작동불능 상태로 만든 지난해 12월 9일의 이메일 공격과는 별개”라며 “그 이전에 발생한 듯 하다”고 말했다.

한수원은 이러한 내용의 개인정보범죄 정부합동수사단(단장 이정수 부장검사)의 조사결과를 통보받은 상황이다.

‘작살 낚시’란 뜻의 스피어피싱은 특정인 혹은 특정 조직을 대상으로 이메일을 보내 메일 안의 첨부파일을 열면 악성코드에 감염시키거나 악성 사이트로 유도하는 형태의 사이버 공격이다. 특정 대상을 집중적으로 위협하는 ‘지능형 지속위협’(APT) 공격의 가장 대표적 유형으로 꼽힌다.

스피어피싱용 이메일은 피해자가 신뢰성을 의심할 수 없을 정도로 정교하게 만들어진다. 이번 스피어피싱에 이용된 이메일에도 ‘원전도면’과 같은 원전업계 종사자에게 친숙한 이름의 첨부파일이 담긴 것으로 전해진다. 내부사정에 밝은 이들의 철저한 기획범죄인 점이 엿보이는 대목이다.

보안업체인 에스이웍스의 홍민표(화이트해커) 대표는 “이메일 공격은 (불특정 다수가 아닌) 개인에게 타깃화가 가능한 손쉬운 감염방법이다”고 했다. 그는 “해커가 악성코드에 어떤 기능을 넣느냐에 따라 종류가 다양하다”고 했다.

이 때문에 스피어피싱 문제는 백신을 통한 사전대응이 매우 어렵다고 전문가들은 입을 모은다. 데이터베이스를 이용해 기존의 악성코드를 탐지하는 현행 백신 체계로는 하루에도 수천개씩 생겨나는 신규 악성코드들에 대한 실시간 탐지에 한계가 있기 때문이다.

이경호 고려대 정보보호대학원 교수는 “국내 악성코드용과 해외 악성코드용 등 백신을 최소한 2개 이상 패키지 형태로 갖춰야 한다”고 말했다. 화이트해커인 이두희 네오위즈게임즈 연구원은 “이상한 이메일은 확인하지 않아야 한다”며 기본적인 보안수칙을 강조했다.

원전과 같은 국가중요시설 개인 이메일을 아예 쓰지 못하게 해 스피어피싱의 공격 루트를 원천 차단해야 한다는 방안도 제기된다.

이경호 교수는 “미국 발전소 직원들의 명함에는 이메일이나 휴대폰 번호 등이 없다”며 “원전 직원들은 근본적으로 이메일 계정을 공개하면 안 된다”고 했다. 그는 이어 “한수원 직원과 협력업체 직원들은 (이메일이 아니라) 보안성을 갖춘 ‘자료공유용 통로’를 별도로 만들어야 한다”고 지적했다.