한수원 해킹 사건 관련 기사

[cyclem]

단순한 해프닝으로 끝날 줄 알았던 해킹 사건은 관련 자료를 보니 심각한 것으로 보입니다.

컴퓨터 보안과 관련된 전문적 영역이라서 이해에 어려운 점은 있지만, 보안업체의 보도자료를 보니 한수원뿐만 아니라 다른 기관에도 자료가 파괴되었을 것으로 보입니다.

▶ “믿어달라”는 한수원, 어찌 믿으오리까

 한겨레21(2015.1.05, 제 1043호) http://h21.hani.co.kr/arti/society/society_general/38685.html   

▶ 오리무중 한수원 해커, 한심한 주먹구구 대응

이번 해커들의 수준과 방식을 다른 사례와 비교하여 추정하는 글이 나와 있다.

지디넷 코리아(2014.12.30) http://www.zdnet.co.kr/column/column_view.asp?artice_id=20141229173428&type=xml

▶ 하우리에서 정리한 자세하게 사건 일지를 정리한 내용

 수사결과 원전반대그룹이라는 해커조직에서 이미 오래 전부터 한수원을 타깃으로 한 사이버공격을 치밀하게 준비했고, 미리 확보한 퇴직자 명의의 이메일을 통해 내부 직원들에게 표적 공격을 감행한 것으로 드러났다. 그럼 한수원 직원들을 타깃으로 한 표적 공격이 감행된 9일을 지나 본지가 그 사실을 최초 보도한 12일로부터 시작되는 한수원 사태의 보름간의 기록들을 추적한다.

하우리/보안정보/보안뉴스 (2014.12.28) http://www.hauri.co.kr/information/news_view.html?intSeq=6699&page=1&article_num=6644

▶ 안랩에서 분석한 내용

접수된 9개의 취약점 한글문서는 문서의 내용은 다르나 모두 동일한 취약점을 사용하였다. 한글문서에서 문단의 레이아웃('HWPTAG_PARA_LINE_SEG')을 담당하는 부분을 처리하는 과정에서 취약점이 발생하며, 쉘코드(ShellCode) 삽입 및 힙스프레이(Heap Spray)를 위해 문단의 텍스트('HWPTAG_PARA_TEXT')가 이용되었다.

2014년 12월 9일 최초 접수된 취약점 한글 문서파일들은 모두 기 알려진 취약점을 이용하였으며, 최신 패치적용제품에서는 동작하지 않는다. 총 9개의 문서파일이 접수되었으며, 모두 동일한 악성파일을 내부에 포함하고 있다.

안랩 아섹 블로그(2014.12.10) http://asec.ahnlab.com/1015

▶ 한수원 해킹, 전문가 6人의 평가는 ‘총체적 난국’

정의당과 탈핵에너지전환위원회가 주최한 ‘한수원 해킹 사고 진상 파악과 재발 방지대책 모색을 위한 전문가 초청 간담회’가 29일 국회 의원회관 제1세미나실에서 개최됐다.
이날 진행된 간담회는 정의당 김제남 의원이 좌장을 맡은 가운데 탈핵법률가모임 해바라기 대표인 김영희 변호사가 핵발전소 사이버보안 및 사이버테러에 대한 의견을 주제로 발표했고, 이헌석 에너지정의행동 대표의 한수원 해킹사고 경과와 향후 과제에 대해 주제발표를 진행했으며, 이후 자유토론 순으로 진행됐다. 특히, 자유토론에서는 한수원 해킹사고와 관련된 재발방지대책으로 정책·예방적 측면과 침해대응 측면, 기술적 측면 등으로 구분해 전문가들의 다양한 의견들이 제시됐다.

김영희 -탈핵법률가모임 해바라기 대표(변호사)-

[일본]
전력 시스템 사이버보안은 원격관리 회선의 극소화, 접속시 인증 절차 등을 통해 필요시에만 외부 접속을 가능토록 하는 등 다양한 외부침입 차단대책을 마련하고 있다. 또한, 전력중앙연구소 등을 중심으로 사이버보안훈련에 참가하는 등 방어책에 대한 숙련도를 높이고 있다.

[미국]
9.11 테러 이후 핵발전소 보안강화를 위해 10년 가까이 연구해서 사이버보안규제인 NCR를 만들었다.  패트리어트법에 의해 美 연방기관은 사회기반시설을 타깃으로 한 공격에 대해서는 인터넷, 전자메일, 전자통신 등을 추적할 수 있으며, 용의자가 접속하는 모든 서버 열람, 모든 웹페이지에 대한 추적이 가능하다. 美 국토안보법은 주요기반보호 프로그램을 통해 보호하고 있으며, 사이버테러 대응을 위한 총괄기관으로 역할을 수행할 수 있는 법적 근거를 두고 있다.

[유럽]
유럽연합(EU)을 비롯해 영국, 프랑스, 독일 모두 ICT 인프라 보호를 위한 독립기관을 설립했다. 각 국가의 독립기관은 사이버테러대책 외에 보안수준을 높이기 위한 연구도 진행하고 있다. 그만큼 사이버테러에 대해서는 강력한 법령으로 대응하고 있다.

[국내]
사이버안보 컨트롤타워는 청와대가 맡고, 실무총괄은 국정원이 담당하며, 미래부와 국방부 등 관계 중앙행정기관이 소관분야를 각각 담당하는 대응체계로 역할을 분담하고 있다. 따라서 ICT 인프라 보호대책이 강화되려면 중립적이면서 독립적인 국회를 통해 통제되어야 한다.

정보통신기반보호법에 사이버테러 대응방안을 적용해 법안을 강화해야 한다. 일각에서는 사이버테러방지법안을 내놓고 있지만 이 경우 정보기관과 연계되어 사찰 강화와 인권 침해로도 이어질 수 있어 정보통신기반보호법을 강화하는 것이 바람직하다고 본다.

이헌석 -에너지정의행동 선임활동가-

이번 한수원 해킹사고는 그동안 사회기반시설의 사이버보안체계가 얼마나 취약했는지 알 수 있는 사례가 되고 있다. 무엇보다 핵발전소의 사이버공격에 대응하는 컨트롤타워가 어디인지 애매한 점이 가장 큰 문제다. 청와대 안보실인지, 원자력안전위원회(이하 원안위)인지, 한수원인지, 산업부인지 불명확하다.  따라서 물리적 공격 등을 포함한 사이버 공격을 총괄 지휘하는 컨트롤타워가 필요한데, 컨트롤타워 역할은 원안위가 하는 것이 바람직하다고 본다.
원안위가 컨트롤타워를 한다면 물리적 보안에서 사이버 보안까지 확대해야 하고, 장비 보강뿐만 아니라 인적보안도 함께 강화되어야 한다. 특히, 인적보안은 매우 중요하다.

한수원의 경우 시스템에 사용하지 않는 메일 서버, 뉴스 서버가 깔려 있다. 이는 2012년 이전부터 finger 요청을 허용한 것으로, 매번 업데이트를 하지 않으면 뚫릴 수 있는 위험이 있어 finger 허용 금지는 기본조치라고 할 수 있다. 뿐만 아니라 원격에서 root 로그인을 허용하는 등 기본적인 보안수칙을 제대로 준수하지 않았다. 즉 담당자가 보안에 대해 제대로 인지하지 못하고 있었으며, 보안업체에서 설치해주는 대로만 사용하는 등 전문성이 부족했다는 것이다.
게다가 이러한 사항들을 이미 감사원으로부터 지적받았음에도 불구하고 제대로 개선되지 않았으며, 망분리 또한 개선됐다고 했지만 확인작업이 명확히 이루어지지 않았다. 이외에도 패치관리시스템(PMS) 등 보안 시스템 전반에 대한 총체적인 점검이 필요하다.

또한, 네이버 블로그에 4일 동안 노출돼 있었고, 드롭박스에도 노출된 점을 미뤄봤을 때 침해차단 시스템도 보강할 필요가 있다고 본다. 뿐만 아니라 보안담당자들의 직무별로 업무 프로세스를 분석할 필요가 있으며, 이를 바탕으로 보안 중심의 업무 프로세스를 체계적으로 마련해야 한다.

서균렬 -서울대학교 원자력핵공학과 교수-

사이버공격은 대규모 폭격의 전조로 그 이후에는 신속한 폭격이 진행된다. 이번 한수원 해킹 사건은 예견된 인재(人災)로 이러한 사고에 대한 사전 차단이 매우 중요하다.
특히, 유출자료 중 숫자가 적혀 있는 밸브가 있는 도면 유출은 다음 해킹 공격에 있어 매우 큰 파장을 일으킬 수 있다. 따라서 유출된 자료 중심으로 벨브 등을 점검하고 대응해야 한다. 또한, 국방, 통신, 상수도, 가스 등을 보호할 수 있는 강력한 대응체계를 갖춘 제3의 특수사령부가 있어야 한다.

현재 국내의 보안인력 체계는 너무 미흡하다. 기반시설을 보호할 수 있는 특화된 전문기관을 창설해야 하고, 이러한 역할을 원안위를 통해 담당하도록 한다면 담당분야를 가스, 에너지 등으로 넓히고 원안위의 역할을 대폭 강화해야 한다.

김혁준 -나루시큐리티 대표-

기술적 관점에서 본다면 비단 한수원만의 사건으로 보기 어렵다. 사이버공격으로 인한 정보 유출과 시스템 마비는 한수원 외에도 많이 발생하고 있기 때문이다. 장기적으로 볼 때 사이버테러 대응은 단순히 규제, 투자만으로 해결될 일은 아니다.
우선 진화하는 공격에 맞춰 현재 방어체제를 개선해야 한다. 현재는 과거 10년전의 예방체계 중심으로 시스템을 운영하고 있다. 따라서 공격양상에 따른 방어체계의 근본적인 변화가 없으면 사이버위협은 앞으로 더 빈번히 나타날 수 있다.

그러나 인력 확대의 경우 인력을 투입된다고 해서 바로 결과가 나오는 건 아니다. 현 보안 인력체계는 아무 권한 없이 책임만 지는 형태이기 때문에 권한이 주어져야 한다.

즉, 시스템 변화 없이는 문제가 계속 발생할 수 있기 때문에 시스템 변화가 선행되어야 한다.

김승주 고려대학교 교수_ 한수원내 제어시스템 폐쇄망에서도 수년 전부터 악성코드가 잠복해 있었던 것으로 드러났다. 이는 이미 예방 측면에서 실패했다는 것을 의미한다. 과거부터 폐쇄망에 존재하던 악성코드가 이번 사건으로 발견됐다는 것은 더욱 문제가 심각하다.  

침해대응에도 데드라인이 있다. 골든타임이라는 정해진 시간 안에서는 구조가 우선이지 원인 분석은 나중이다. 이 때문에 내부 시스템을 깨끗이 정비해서 악성코드가 모두 사라졌으니 안심하라는 메시지가 먼저 나와야 한다. 그러나 이러한 메시지는 국가안보실로부터 지난 25일 오후가 되서야 들을 수 있었다.

다음은 정책적인 측면에서 지적하고 싶다. 미국은 사이버테러를 정책, 기술, 인력 등 하나의 제도에서 본다. 그러나 우리나라는 많은 제도가 있지만 모두 소관부처가 다르다. 한수원은 지금껏 국정감사를 통해 인력 문제, 시스템 운영 측면에서의 보안 전문성 미흡, 정책 부재 등에 대해 여러 차례 지적받아 왔지만 개선되지 않았다. 매년 국가정보원에 의해 점검을 받았어도 감사권이 없었기에 개선되지 않았다는 의미가 된다. 이 때문에 컨트롤타워를 만들려면 전문성과 감사권이 있어야 한다.

또한, 이번 한수원 해킹사고는 이메일 계정을 도용한 후, 한글문서의 취약점을 이용해 악성 메일을 보냈다. 이 수법은 가장 고전적이지만  해커에게 있어 가장 효과적인 방법이기도 하다. 안타깝게도 아래 한글 프로그램이 악성코드 유포 통로로 악용되고 있는 게 현실이다. 이 때문에 무조건적으로 국산 SW를 장려하는 관행도 문제가 될 수 있다.

이번 해킹사건은 원전 파괴보다는 사회불안 심리를 일으키는 데 초점을 둔 것으로 보인다. 그러나 이번 자료유출로 인해 다음 해킹은 더욱 위협적일 수 있다. 현재 유출정보에 대해 제대로 파악하지 못한다면 이에 따른 대응도 제대로 이뤄질 수 없기 때문에 더욱 위험해질 수 있다는 얘기다.

윤기돈 녹색연합 사무처장_ 이번 한수원 해킹 사건을 계기로 사이버테러에 대한 좀더 적극적인 대응이 필요해 보인다. 사이버테러에 대비해서 수동으로 제어시스템을 완벽하게 구동할 수 있는지, 정해진 시간 안에 제대로 작동할 수 있는지 등에 대한 총체적인 점검이 필요하다. 특히, 추가 공격은 더욱 진화할 수 있기 때문에 예방 차원에서 수동적인 시스템까지 제대로 운영되는지 꼼꼼히 체크해야 한다.

보안뉴스(2014.12.29) http://www.boannews.com/media/view.asp?idx=44904

▶ "한수원 해킹, 국정원 사이버 사찰 강화로 이어질까 우려"
 - 원전 사이버 공격 해법 놓고 탈핵-보안 전문가 갑론을박 -

 대응책을 둘러싸고  그동안 정부가 정보 보호와 인권과 민주정치를 하지 않는 상황에서 우려를 표하는 쪽과 강력한 콘트롤이 필요하다는 쪽의 이견이 표출된 기사가 나타나 있다.

탈핵 전문가들은 원전 안전 규제 기구인 원자력안전위원회(원안위)가 원전의 물리적 안전뿐 아니라 사이버 안전까지 총괄해야 한다고 본 반면, 정보보안 전문가는 원전을 포함한 모든 사이버 테러에 일사불란하게 대응해야 한다면서 국가정보원이나 청와대 같은 국가기관의 역할과 권한 확대에 무게를 실었다.

탈핵법률가모임 '해바라기' 대표를 맡고 있는 김영희 변호사는 "미국에선 NRC(미국원자력규제위원회)가 핵발전소 사이버 안전 규제를 맡고 있고 유럽에서도 독립적인 행정기구가 ICT 인프라 보호를 맡고 있다"면서 "우리나라는 사이버 안보 콘트롤타워를 청와대가, 실무를 국정원이 맡고 있는데 현재 새누리당이 추진하는 사이버테러방지법안이 사찰 강화와 인권 침해로 이어질 수 있다"고 지적했다.

지난 2007년 4월 에스토니아 정부와 은행, 통신망을 대상으로 발생한 사이버 공격이 대표적인 사례다. 김 변호사는 "당시 에스토니아 정부는 러시아 정부 개입을 의심했지만 범인은 러시아계 에스토니아 대학생으로 밝혀졌다"면서 "해킹 당하는 입장에선 공격 주체를 모르기 때문에 자신들의 적대국을 지적해 안보 논리로 가려는 경향이 있는데 우리가 북한 소행으로 몰아가는 것도 마찬가지"라면서 "한수원 해킹도 국내 사이버 사찰 강화로 이어져 민주주의와 기본권이 침해되는 상황으로 갈 수도 있다"고 우려했다.

이헌석 에너지정의행동 대표는 "원전에 대한 물리적 공격 외에 사이버 공격에 대한 콘트롤 타워가 필요하다"면서 "원안위의 역할을 물리적 보안에서 사이버 보안으로 확대하고 장비 보강뿐만 아니라 인적 보완도 강화해야 한다"고 밝혔다. 

반면 김승주 고려대 정보보호대학원 교수는 "기술력이 뒷받침 되고 국제 공조가 가능한 조직이 콘트롤타워가 돼야 한다"면서 "기술만 보면 국정원, 경찰은 일정 수준에 올라가 있고 감사권을 통해 예산 반영하든지 해서 (관련 기관들을) 실제적으로 움직이는 게 중요하다"고 밝혔다.

이에 김영희 변호사는 "국정원 같은 국가정보기관은 범죄를 대상으로 한 거고 사이버 공격을 기술적, 사전적으로 예방하는 조직은 아니다"라면서 "국정원에 콘트롤타워를 맡기는 데 반대한다"고 반박했다.

김 교수는 "(콘트롤타워가) 국정원이라고 한 건 아니지만 국정원이라고 불이익을 받아선 안 된다"면서 "국가 위기에 부처별로 영역 다툼만 하고 있어 영역을 초월할 수 있는 제도를 만들어 정보의 공유와 총괄을 극대화해야 한다"고 밝혔다.

김제남 정의당 의원은 "사이버 공격은 이미 과거부터 있었고 원전도 위험 대상인 걸 알고도 어떤 대응 체계도 갖추진 못한 한수원과 산업부는 뼈저린 자기 성찰이 있어야 한다"면서 "원안위 규제 대상에 사이버 안보도 포함시켜야 한다"고 밝혔다. 다만 김 의원은 "누가 사이버 공격 콘트롤 타워가 될지는 좀 더 토의가 필요하다"면서 "국정원이나 사이버테러방지법으로 국민의 보편적인 정보 접근권이 제한될 수 있다는 경각심을 가져야 한다"고 지적했다.

오마이뉴스(2014.12.29) http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002067579

▶  해킹 대비 낙제점 한수원 “국민 겁주기 나서”
 이번 사태에 대한 정보와 한수원의 대응에 대한 비판이 잘 나타나 있다.

미디어 오늘(2014.12.29) http://www.mediatoday.co.kr/news/articleView.html?idxno=120922

▶ 한수원, 원전비리·해킹에 안전사고까지…쇄신론 부상

전문가들은 원전이라는 전문적인 업무를 다루는 한수원의 조직문화가 폐쇄적이어서 외부의 지적과는 담을 쌓고 있으므로 전면적인 쇄신이 필요하다고 지적한다. 사장이나 몇몇 간부들을 교체하는 수준으로는 어림없으며 민영화에 버금가는 혁신을 통해 내부 조직문화를 뜯어고쳐야 한다는 것이다.

서균렬 서울대 원자핵공학과 교수는 "한수원 직원들은 아직도 자신들은 잘하고 있는데 비난을 받으니 억울하다는 심정을 갖고 있다"면서 "한수원은 공기업으로서 한계에 도달한 것이 분명해 보이기 때문에 민영화하고 전문경영인을 대표로 앉혀 전면적인 혁신을 추진해야 한다"고 말했다.

연합(2014.12.30) http://www.yonhapnews.co.kr/economy/2014/12/27/0302000000AKR20141227020000003.HTML