북한과 연관된 것으로 추정되는 해킹조직이 인도 원자력발전소를 해킹한 것으로 나타났다고 VOA가 1일 전했다.

인도 원자력공사(NPCIL)는 지난달 30일 성명을 통해 쿠단쿨람 원자력발전소의 행정연결망에서 악성코드가 발견돼 원전 1기 네트워크 가동이 중단됐다고 밝혔다.

인도 원자력 당국은 악성코드에 감염된 것은 원전 관리 연결망이며, 발전소는 네트워크 분리 시스템이 적용돼 있어 원전 설비체계에는 영향을 끼치지 못했다고 설명했다.

이번 발표는 당초 인도 원자력공사가 해킹 공격을 받은 사실을 부인한 지 하루만에 나왔다.

이번 공격에 대한 분석에 참여한 보안 연구원들은 백도어 악성코드인 ‘Dtrack’을 활용해 해킹을 벌인 정황이 포착됐다며, 북한 추정 해킹조직 ‘라자루스’가 연루됐을 가능성을 제기했다.

러시아 민간 보안업체 카스퍼스키 분석에 따르면 라자루스가 개발한 악성코드로 최근 인도 은행의 현금인출기 해킹과 2017년 워너크라이 랜섬웨어와 동일한 암호코드를 사용한 것으로 파악됐다.

또 Dtrack은 감염된 시스템의 정보를 수집하고 감염된 컴퓨터를 상시 감시 또는 조종할 수 있는 정찰 도구라고 설명했다.

많은 언론들은 이번 해킹과 관련해, 북한이 공격 대상이나 활동 범위를 넓히고 있을 가능성에 주목했다.

과거 주로 외교기밀이나 정권의 자금 마련을 위한 금융정보 탈취에 초점이 맞춰졌던 것과는 달리 이번에는 에너지산업 분야를 목표로 삼았기 때문이다.

그러나 미국의 전문가들은 북한이 현금 또는 금융정보 탈취에만 열을 올리는 것은 아니며, 이미 원전 등 에너지산업 분야를 해킹한 정황이 수 차례 포착됐다고 지적했다.

북한 사이버 문제를 연구해온 미국 외교정책위원회 제니 전 연구원은 북한이 특정 정보를 탈취하거나 그 정보를 이용해 공작을 하기 위해 에너지산업 분야도 공격했다며, 2014년 ‘한국수력원자력 해킹 사건’을 사례로 들었다.

‘원전반대그룹’을 사칭한 북한 추정 해커들이 “원전 가동을 중단하지 않으면 원전 설계도면을 공개하겠다”며 위협하고, 한수원 자료를 해킹해 입수한 원전 설계도면과 임직원 개인정보 등을 폭로해 현금을 갈취하려 한 사건이 있었다는 것이다.

제니 전 연구원은 북한 해킹조직의 인도 원전 공격 의도가 정보 탈취인지, 정보 탈취를 통한 자금 확보 차원인지 명확히 알기 어렵다고 말했다.

다만, 해킹 공격에 사용된 악성코드에서 발전소와 관련된 컴퓨터 내장 정보가 발견된 것으로 볼 때, 북한이 발전소 자체를 겨냥했을 가능성이 있다고 주장했다.

민주주의수호재단의 매튜 하 연구원도 북한이 2017년부터 1년 이상 미국과 유럽의 전기, 수도, 공공설비, 석유, 가스 회사 등을 해킹했다는 미 사이버보안업체 맥아피의 연구 결과를 예로 들며, 에너지산업 분야 해킹은 북한의 오랜 관심사였다고 말했다.