한수원 해커 '최소 30대 중후반 뛰어난 기술자'

아주경제 장윤정 기자 = 한국수력원자력(이하 한수원)을 해킹한 해커는 최소한 30대 중후반 이상의 전문적인 기술을 가진 해커라는 주장이 제기됐다. 

국내 보안전문가들은 "한수원 자료를 유출시킨 해커는 고도의 전문지식을 갖췄으며 최소 30대 중후반 이상의 경력을 가진 기술자일 것"이라고 분석했다.

첫번째 고도의 지식을 갖춘 해커라는 증거는 한수원에서 지난 9일 발견된 악성코드를 분석한 결과 난독화 기법이 적용됐기 때문이다. 

악성코드에는 고난도 교란용 코드가 들어 있었고 이 악성코드는 난독화돼 있었다. 보통 악성코드에 난독화 기법까지 적용해서 유포하지 않지만 자신을 숨기기 위해 난독화를 적용했다는 것은 상당한 수준이라는 설명이다. 한글파일에 숨겨 넣은 방식도 현재 개발된 백신이 감지 못한 신종기법이다. 

관련기사

• 한수원 "5번째 유출된 원전 자료는 공개된 기존 자료와 비슷한 수준"
• 한수원 해킹된 5번째 공개 자료 살펴보니

좀비 PC를 해킹에 이용하고, 여러 나라에 거쳐 해킹을 시도해 추적을 따돌리는 등 수준급 해킹 실력을 선보이고 있다.  

최상명 하우리 팀장은 "이번 한수원 해킹은 세계 수준의 해커"라며 "악성코드를 USB를 통해서 옮겨진 PC에서 동작할 수 있게도 충분히 만들 수 있다"고 말했다.

최 팀장은 "그동안 악성 코드로 하드디스크를 파괴하고 부팅 자체가 안 되게 하는 경우는 많았다"면서 "이번에는 부팅되면서 빨간색 글자로 'Who Am I'라는 글자가 나오게 했는데, 여기에는 매우 고급기술이 들어간다"고 말했다.

지난 3.20, 6.25 사이버테러 등에서는 PC 부팅 영역에 해당하는 마스터부트레코드(MBR)를 파괴해 내부 시스템을 쓰지 못하게 하는 기능을 넣으며 하드디스크를 멈추게 해 까만색 화면이 나타나게 하는 방법 등은 웬만한 해킹 실력을 가진 해커라면 가능한 일이다.

하지만 한수원 해킹에서는 악성코드 내에 'Who Am I?'라는 문구를 집어넣었고, MBR 파괴 기능이 작동할 경우 감염된 PC를 재부팅하면 첫 화면에 'Who Am I?'라는 문구가 표시되도록 했다.

즉, PC가 부팅하고 윈도로 진입하기 전에 글자가 화면에 나타나는 하는 이같은 기법은 도스 시절에 사용했던 기법이다. 윈도 환경으로 넘어오면서 이러한 기술을 사용한 악성 코드가 한 번도 없었다는 설명이다. 또 악성 코드가 난독화 돼 있거나 한글파일에 숨겨 넣는 방식 등도 고난도의 기술로 간주한다.

그는 "2000년 이후 이같은 공격을 거의 보지 못했다"며 "이에 따라 한수원을 공격한 해커 또는 해커 집단은 30대 이후 중후반 이후 상당한 컴퓨터 지식을 가졌을 것으로 추정된다"고 밝혔다.

한편 해킹 조직 일원으로 추정되는 '원전반대그룹'은 지난 15일, 18일, 19일, 21일, 23일 총 다섯 차례에 걸쳐 한수원을 해킹하고 인터넷 블로그와 트위터 등을 통해 대외비 자료를 공개한 바 있다.