'NK behind nuclear plant hacking'

The Korea Times

Entertainment & Arts

Sports

World

SCMP
Asia

Video

Photos

The Korea Times

Entertainment & Arts

Sports

World

SCMP
Asia

Video

Photos

The Korea Times

Business

Fri, February 3, 2023 | 20:03

Tech

'NK behind nuclear plant hacking'

원전도면 유출범 IP 中 선양에 집중…200여차례 접속

Posted : 2014-12-24 16:37

Updated : 2014-12-24 22:01

By Kim Yoo-chul

Justice Minister Hwang Kyo-ahn said Wednesday that North Korea may be responsible for breaches of online security at the Korea Hydro and Nuclear Power (KHNP).

"We aren't ruling out the possibility that North Korea was behind the latest hacking attack. There are a lot of technical problems to find who did this; however, we are closely collaborating with the relevant authorities to confirm the culprit's identity," Hwang said during a session of the National Assembly.

"Prosecutors and the authorities believe the hackers used foreign sites, although the investigation is still underway," the minister said.

The remarks come a few hours after prosecutors said the authorities had traced the hackers responsible for the breaches of online security to China.

"An IP address of a suspected hacker was traced to the Chinese city of Shenyang. Shenyang is home to cyber experts dispatched by North Korean authorities," a senior official at the Supreme Prosecutors' Office told The Korea Times by telephone.

"The culprit's identity has not been confirmed. We are closely cooperating with authorities in China and the FBI. It's too early to confirm that North Korea was responsible for the latest hacking; however, there is a strong possibility that Pyongyang was behind the attack," he said.

The official said the IP address was acquired with the help of three virtual private network (VPN) operators. "The IP address was traced to China through the United States, Japan and Korea."

VPN is a technology allowing users to connect to any website anytime they have Internet access. All data sent through a VPN is encrypted, meaning that users' information is protected from hackers.

Citing similar patterns in a series of cyber attacks on local banks and broadcasters in 2013, cyber security experts said North Korea may be responsible for the hacking.

"Hackers attacked nuclear plants by adopting two-way channels," Prof. Lee Kyung-ho of Korea University said.

A leak of data including blueprints of nuclear reactors and KHNP-developed security codes for nuclear plants was posted on Naver and Nate with links to them on Twitter.

The hackers demanded the three reactors be closed for three months from Christmas. A second round of attacks will happen according to the situation, they said.

"All 23 KHNP-operated nuclear reactors are currently being monitored on a real-time basis. If any problems happen, then the reactors will automatically be shut down according to the safety manuals," a spokesman at the company said.

"Even if three reactors ― Gori 1, 3 and Wolsung 2 ― stopped generating power, the amount of back-up electricity is enough to meet demand without a power outage," he added.

Suh Kune-yull, a professor of nuclear engineering at Seoul National University, said, "This shows it is impossible to say with confidence that anyone intending to infiltrate the system can be blocked completely."

"The compromising of nuclear reactors safety pretty clearly means there is a gaping hole in national security," he added.

원전도면 유출범 IP 中 선양에 집중…200여차례 접속

'북한과 관련성 단정할 수도, 부인할 수도 없다'…中·美 공조 본격화
가상사설망 명의 도용돼…경찰청과 협조·수사인력 확대
합수단 '한 사람 소행으로 보이지 않는다'…조직범행 가능성

한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 유출범으로 추정되는 인물이 사용한 IP가 중국 선양에 집중적으로 몰린 사실을 확인했다.

합수단은 범인 추정 인물이 활용한 인터넷 가상사설망(VPN) 서비스 업체 3곳으로부터 자료를 확보해 분석한 결과 이 같은 사실을 파악했다고 24일 밝혔다.

합수단에 따르면 지난 15일 범인 추정 인물이 VPN 업체로부터 할당받은 IP 중 20∼30개는 중국에서 접속됐다. 접속 횟수는 200여차례인데, 거의 모든 접속지가 중국 선양인 것으로 확인됐다고 합수단 관계자는 설명했다.

이에 따라 합수단은 해당 IP를 추적하기 위해 중국 당국과 사법공조 절차를 밟고 있다.

합수단은 이 인물이 사이버 공간에 남긴 IP 접속 흔적이 북한과 인접한 중국 랴오닝성의 성도(省都)인 선양에서 집중적으로 발견된 점에 주목하고 있다.

합수단 관계자는 '현재는 수사 초기 단계여서 북한과의 관계는 확인한 바 없다'면서도 '북한과 관련성은 단정할 수도, 부인할 수도 없다'고 언급했다.

물론 북한과 연계된 듯한 단서를 남겨 추적에 혼선을 일으키기 위해 일부러 선양을 IP 경유지로 활용했을 가능성도 남아 있다.

VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해 준다.

H사 등 3곳은 범인 추정 인물이 원전 도면 등 유출 자료를 담은 인터넷 블로그 글을 게시할 때 해당 IP를 할당해 준 업체다. 사이버 범죄를 저지를 의도로 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 '세탁 IP'로 간주할 수 있다.

범인 추정 인물은 VPN 서비스 가입자의 명의를 도용한 것으로 파악됐다. 2년 전부터 이 서비스에 가입해 있던 누군가의 명의를 훔쳐 서비스를 제공받은 것으로 나타났다. 명의 도용 피해자는 서울에 거주 중인 것으로 확인됐다.

VPN 서비스 이용료 역시 누군가로부터 탈취한 인터넷뱅킹 공인인증서를 활용, 국내 은행지점에 개설된 다른 사람의 계좌에서 빠져나가도록 해 놓은 것으로 조사됐다. 주도면밀한 범행이 이뤄졌음을 시사하는 대목이다.

이 인물이 지난 21일과 23일에 게시글을 올린 트위터 계정도 도용됐을 가능성이 큰 것으로 합수단은 판단하고 있다.

범인 추정 인물은 전날 원전 도면 등을 담은 5번째 게시글을 사회관계망 서비스인 트위터에 올렸다. 클릭하면 다른 주소로 연결돼 또 다른 자료를 볼 수 있도록 인터넷 링크를 걸어 놓기도 했다. 인터넷 링크에는 페이스트빈이라는 프로그램이 활용됐다.

트위터와 페이스트빈은 미국에 서버를 두고 있기 때문에 합수단은 미국 연방수사국(FBI)에 공조수사를 요청했고, 인터넷 링크로 연결된 자료를 FBI로부터 제공받아 분석 중이다.

합수단은 추가 피해 예방과 범인 검거를 위해 경찰청 사이버안전국과도 협조하기로 했다.

합수단 관계자는 '이번 사건이 조직적 범행인지는 아직 단정할 수 없지만 다수의 IP가 동원된 것으로 봐서 한 사람이 한 것으로 보이지 않는다'고 말했다. (연합뉴스)

yckim@ktimes.co.kr