작년 말 ‘원자력발전소 가동중단’을 요구하며 한국수력원자력(한수원) 관련 자료를 잇달아 유출시킨 사건이 북한의 소행으로 판단된다는 수사결과가 나왔다. 해킹에 사용된 악성코드의 구성과 작동방식이 북한 해커조직이 사용하는 코드와 거의 유사하고 해킹에 사용된 인터넷주소(IP) 접속 기록 등에 북한관련 IP가 발견됐다는 것이 근거다.
　정부합동수사단은 또 원전자료 유출사태가 국가 인프라시설을 공개적으로 협박, 사회불안을 야기하고 국민의 불안심리를 자극한 사건이라고 규정했다. 원전 해킹이 북한의 소행으로 최종 확인되려면 추가적인 해킹 경로 조사 및 코드에 대한 분석이 필요하겠지만, 지속적으로 지능화하는 해킹 수법을 고려할 때 국가 인프라 시설의 사이버 테러 대책도 그만큼 진화한 예방·대응 태세를 갖추어야 함은 두말할 필요도 없다.
　합수단에 따르면 해커들은 작년 12월 9~12일까지 한수원 직원 3571명에게 악성코드가 담긴 이메일을 대량 발송했지만, PC 8대만 감염되고 자료 유출은 없었다. 해커들은 이메일 공격이 사실상 실패하자 앞서 작년 7월부터 한수원 퇴직자, 협력업체 직원 등에 발송한 피싱메일을 통해 확보한 한수원 자료들을 12월 15일부터 유출했다. 이메일 공격에 사용된 악성코드는 북한 해커들이 쓰는 ‘킴수키(kimsuky)’코드와 명령어 구성, 동작 방식이 거의 유사하고 역시 한글 파일의 취약점을 노린 코드가 포함돼 있다고 한다.

　또 경로 추적을 막기 위해 국내 인터넷 가상사설망(VPN) 서비스 업체에서 할당받은 IP에 북한인 또는 북한 체신성 산하 회사의 접속기록이발견됐다. 최종 해커에 대한 실체적 증거는 나오지 않았지만 지난 2013년 국내 연구소들에 대한 사이버 침투행위가 탐지됐을 당시 러시아의 보안회사인 카스퍼스키랩이 해킹 대상기관, 악성코드내 한글문자열, 경유 IP소재지 등을 토대로 북한인 해커가 만든 것으로 추정한 것과 크게 다르지 않은 상황이다.
　수사 당국은 해커조직이 사용한 사회관계망서비스(SNS)의 서버 소재지인 미국과 IP 접속 흔적이 있는 중국 등과 국제공조를 벌여 추적작업을 계속할 계획이다. 정부는 또 중앙행정기관, 지방자치단체, 주요 인프라 관리기관의 사이버보안 전담조직 신설·확대 및 사이버 안보 컨트롤 타워 기능 강화 방침을 밝혔다. 상시적 사이버 침해 예방·침투 대응 체계 마련이 필요하기 때문에 당연한 조치라고 본다. 하지만, 이번 사건은 해킹 행위 자체의 충격뿐 아니라 국가 기간 시설의 허술한 보안 수준과 안전 의식을 그대로 보여줬다고 해도 과언은 아니다.
　북한 해커들이 주요 기간 시설의 내부망 해킹이 어려워지자 협력업체 등을 이용한 우회 공격을 시도한다는 경고가 나온 지 오래고 이번에 사용됐다는 악성코드의 원형도 2년여 전에 탐지된 바 있다. 한수원이든 원전 당국이든 해킹에 대한 책임론에서 비켜갈 수 없다는 얘기다.
　해킹 수법은 보안기술을 무력화하는 과정을 통해 진화한다. 허점이 드러난 대응방안으로는 사이버 공격을 피하기 어렵다. 사이버 보안 대응시스템의 대대적 점검, 확충과 동시에 기관뿐 아니라 임직원, 개개인의 사이버 침해에 대한 보안의식 강화가 절실한 이유다.