원전해커 김숙향은 누구인가?

[박재홍의 뉴스쇼 - 행간]

[CBS 박재홍의 뉴스쇼]

■ 방송 : CBS 라디오 FM 98.1 (07:30~09:00)

■ 진행 : 박재홍 앵커

■ 대담 : 김성완 (시사평론가)

◇ 박재홍> 김성완의 행간, 시사평론가 김성완 씨 나와계십니다. 어서 오십시오.

◆ 김성완> 네, 안녕하세요.

◇ 박재홍> 오늘 다룰 주제로 넘어가보죠.

◆ 김성완> 어제 정부 합동수사본부가 원전해킹사건의 배후세력으로 북한을 지목을 했습니다. 그러면서 그 근거로 김숙향의 러시아식 발음인 김수키라고 하는 악성 코드이름을 제시를 했는데요. 원전해커 김숙향은 누구인가, 그 행간을 좀 살펴볼까 합니다.

◇ 박재홍> 먼저 합동수사단이 어제 발표한 중간수사결과부터 정리를 해볼까요?

◆ 김성완> 수사결과를 요약정리를 해보면 이렇습니다. 이게 지난해 연말이었었죠? 누군가 한국수력원자력 직원 3500여 명에게 총 5900여 통의 악성코드가 담긴 이메일을 발송을 했고요. 컴퓨터 하드디스크를 파괴하려고 시도를 했습니다. 그 해킹에 쓰인 악성코드와 인터넷 접속 IP 등을 분석을 했더니 김수키라고 하는 이름이 나왔습니다. 이 김수키 계열의 악성코드와 구성 동작 방식이 거의 같더라 이런 건데요. 김수키는 북한 해커조직이 주로 사용하는 악성코드다, 이런 겁니다. 이게 이제 첫번째 이유고요.

◇ 박재홍> 북한을 지목한 첫번째 이유.

◆ 김성완> 두번째 이유는 해커가 범행을 저지를 때는 보통 IP 주소라고 인터넷 주소를 사용하잖아요. 해커를 추적할 때도 그 주소를 추적하게 되는데, 지난해 12월 하순쯤 접속한 것을 봤더니 북한이 사용한 IP 주소가 25개가 있었고 북한 체신성 산하 통신회사에 할당된 주소가 5개가 있더라, 접속한 흔적이 발견됐다, 이런 거고요. 일부 IP 주소는 북한 압록강 주변에서도 접속할 수 있는 인터넷 중계기를 통해서 들어온 것이다, 이런 겁니다.

◇ 박재홍> 그렇다면 김수키라는 악성코드와 김숙향이라는 이름, 무슨 관련이 있다는 겁니까, 이게?

◆ 김성완> 제가 러시아 사람이라고 생각을 하고요. 이 김숙향이라는 이름을 러시아식 발음으로 얘기하면 김수키랑 비슷해집니다.

◇ 박재홍> 김숙향, 김수키. 네.

◆ 김성완> 러시아와 관련이 있기 때문에 이제 이렇게 이름이 바뀐 건데요. 김숙향이라는 이름이 처음 알려진 것은 2013년 9월입니다. 러시아의 대형보안업체가 한국의 해킹 사건을 분석한 보고서를 발표를 했는데요. 그 배후 세력이 북한일 가능성이 높다, 이렇게 지목을 했습니다. 그 결정적인 근거가 김숙향이라고 하는 이름이었는데요. 해커가 보통 한국프로그램을 통해서 컴퓨터에 악성코드를 심게 되는데 마지막으로 정보를 이메일로 받게 된다고 합니다. 그런데 이 이메일 계정의 등록자를 조사를 해봤더니 김숙향이라고 하는 이름이 튀어나왔다, 영문으로 김숙향이고요. 또 하나 영문으로 '김ASDFA'라고 하는 이름, 이렇게 두 개가 튀어나왔다고 합니다. 그런데 김숙향이라고 하는 이름은 그냥 우리가 쳐도 한글 이름으로 알게 되는데. 이 'ASDFA'라고 하는 건 ㅁ, ㄴ, ㅇ, ㄹ, ㅁ이 됩니다, 한글로 변환을 하면. 러시아 사람들이 볼 때 이 두 개의 이름을 연결을 해보니까 김숙, 뒤에 김이 있으니까 키. 그래서 김수키 이렇게 이름을 사용한 겁니다. 그래서 이 이후부터 해킹작전을 김수키 작전이다, 이렇게 부르게 된 겁니다.

◇ 박재홍> 그렇지만 북한은 엉터리 조사다, 이렇게 비난을 하면서 자신들과 관련이 없다며 부인하고 있는 그런 상황 아니겠어요.

◆ 김성완> 네. 북한의 대남선전용 웹사이트인 '우리민족끼리'가 펄쩍 뛰었는데요. 원전 해킹 사건과 우리랑은 아무 관련이 없다, 이렇게 주장을 했습니다. 합수단이 어제 수사 결과를 발표한 것을 두고 '무지 무능한 엉터리 판단이다.' 이렇게 비난까지 했는데요. 누군가는 그럴 겁니다. 해킹한 사람이 뭐 순순히 내가 해킹했소, 이렇게 이실직고 하겠냐, 이렇게 얘기할 수도 있을 겁니다. 하지만, 북한이 반박할 여지를 주고 있는 것 또한 사실입니다. 심증은 가지만 확실한 물증이 없는 점, 이게 논란의 단초를 제공했다고 할수도 있는 부분입니다.

◇ 박재홍> 북한이 반박할 여지를 주고 있다? 무슨 말씀인지 좀더 자세히 설명해 주시죠.

◆ 김성완> 김숙향이라는 이름, 우리가 그냥 들으면 다 알잖아요. 한글 이름이고 누군가 한국과 관련이 있을 것이다, 그런데 우리 남쪽이 안 했으니까 북쪽이 아마 했을 것이다, 이렇게 주장을 하고 있는 건데요. 사실은 한글 이름으로 만들려고 하면 김숙향이라는 이름, 외국 사람이라고 못 만들겠습니까? 재중동포들도 만들 수 있고 조선족도 쓸 수 있고.

◇ 박재홍> 미국 영화에서도 나오기도 하고, 언제든지.

◆ 김성완> 그렇죠. 해외동포가 쓸 수도 있고. 얼마든지 빠져나갈 구멍이 있다는 것이고요. 북한이 자주 사용하는 IP 주소를 사용했다, 이 근거도 사실 해커들이 해킹할 때는 IP 세탁을 한다는 건 이미 다 알려져 있는 상식 아니겠습니까? 영화를 보면 해킹에 사용된 주소를 추적하다 보면 전세계를 한 바퀴 빙 돌게 되잖아요. 그런 상황이니까 어떻게 그 IP 주소만 가지고 북한의 소행이라고 단정지을 수 있겠느냐, 그건 심증에 불과하다, 추정일 뿐이다라고 하는 반박을 북한이 할 수 있다는 겁니다. 이번에도 해커가 국내 업체명의를 도용해서 IP 세탁을 하기도 했고요. 또 그런 상황에서 중국측에 이번 수사에 협조를 해달라고 요청을 했는데 제대로 된 협조도 못 받은 상황입니다. 그러니까 국내에서 수사를 해서 수사 결과를 냈다, 이렇게밖에 볼 수 없는 거죠. 하지만 진짜 북한이 반발하는 이유가 하나 더 있습니다.

◇ 박재홍> 그건 뭔가요?

◆ 김성완> 솔직히 제가 원전해커라고 가정하면 이 김숙향, 김수키 악성코드를 사용하겠다고 마음만 먹으면 얼마든지 사용할 수 있습니다. 왜냐하면 이미 공개된 방법이기 때문에, 다 누구든 사용할 수 있다는 것이고요. 또 하나 그동안 정부가 대형 해킹사건이 일어났을 때마다 근거가 분명하든 불명확하든 그 배후세력으로 북한을 지목했다는 겁니다. 그래서 국내 보안전문가들 사이에서도 "이번에 또 북한이야?" 이런 얘기를 할 정도인데요.

◇ 박재홍> 큰 사건이 일어날 때마다.

◆ 김성완> 2009년 정부기관에 대한 디도스 공격도 그랬고. 2011년 농협 전산망 마비사태 때도 그랬고. 2013년 언론사 홈페이지 해킹 사건 때도 다 마찬가지로 배후 세력은 북한이다, 이렇게 지목을 했거든요. 제가 해커라고 하면 내가 만약에 원전을 해킹했다고 하면 빠져나갈 수 있는 가장 손쉬운 구멍으로 북한쪽 관련되어 있는 IP 주소나 김수키라고 하는 악성코드를 사용하면 되지 않겠느냐, 이렇게 할 수 있다는 거죠. 그동안에 정부가 수사결과를 발표할 때 신뢰를 좀 더 확보했어야 하는데 신뢰를 확보하지 못함으로써 이런 의심을 받게 되지 않았겠느냐, 이런 얘기를 할 수 있다는 거죠. 그러니까 정부가 만약에 지금이라도 북한이 꼼짝 못할 증거를 제시하려면 김숙향이 누구인지, 도대체 북한 해커와 어떤 해커집단과 어떤 관련이 있는 사람인지, 이 부분을 확실하게 국민들한테 밝혀내놔야 하지 않을까, 이런 생각이 듭니다.

◇ 박재홍> 시사평론가 김성완 씨였습니다. 고맙습니다.

◆ 김성완> 네, 고맙습니다.

[박재홍의 뉴스쇼 프로그램 홈 바로가기]

CBS 박재홍의 뉴스쇼

저작권자 © CBS 노컷뉴스(www.nocutnews.co.kr) 무단전재 및 재배포 금지