최근 발생한 한국수력원자력 해킹 사태가 북한의 소행일 가능성이 제기되고 있다.
이에 대해 보안업계와 전문가들은 여러 가능성을 열어두고 신중하게 대처해야 한다는 입장을 보이고 있다.
22일 정보보안업체 하우리 관계자에 따르면 이번 해킹은 하드웨어 파괴라는 점에서 이전 북한의 소행이라고 알려진 3.20 및 6.25 사이버 테러, 소니픽처스 해킹 등과 비슷한 부부분이 있는 것으로 전해졌다.
이전 테러 때 사용됐던 악성코드들과 코드 자체는 다르지만, 코딩이 일부 유사하다는 것이다.
이 관계자는 "소니 테러가 일어났을 때는 이전에 일어났던 사건들과 악성코드가 일치해 북한의 소행이라고 단정지을 수 있었다"며 "지금은 그렇게까지 단정짓기는 어렵고 악성코드가 추가적으로 발견되거나 IP가 밝혀진다면 좀더 자세하게 누구의 소행인지 알 수 있을 것"이라고 설명했다.
또한 이번 공격을 감행한 해커가 트위터에 게재한 글에서 '청와대, 아직도 아닌 보살'이라는 표현을 사용했다는 것도 북한 소행의 근거중 하나로 지목됐다.
'아닌 보살'은 북한에서 '시치미를 뗀다'는 의미로 주로 쓰이는 용어로, 북한 대남기구인 조국평화통일위원회 등 북측에서 더 많이 사용하는 단어로 알려져 있다.
하지만 '아닌 보살 하다'는 국립국어원의 표준국어대사전에도 올라 있는 말인데다 수사에 혼선을 주려 의도적으로 썼다는 주장도 있다.
이 보안업체 전문가 역시 "오히려 북한의 소행인 것처럼 보이게 하려고 이러한 표현을 썼을 수도 있다"며 "말투는 조선족일 수도 있고, 중국인일 수도 있으니 추가적인 단서가 나올 때까지는 말하기 어렵다"며 단정을 자제했다.
한 정보 보안전문가는 언론과의 인터뷰에서 "현재 최신 악성코드를 통해서 이메일에 첨부해서 공격을 했던 방식은 북한 해커들이 주로 사용했던 방식으로 알려져 있다"면서도 "SNS를 통해서 계속 여론전을 하고 있어 북한 해커하고 다른 집단이 관계가 된 것 같다"고 말했다.
[신아일보] 전호정 기자 jhj@shinailbo.co.kr
