Day55 실무 사례 - 한국수력원자력 해킹 (2014)

[ 1. 사건 개요 ]

- 회사  :  한국수력원자력 (한수원, KHNP)
- 발생 시기  :  2014년 12월
- 발견  :  2014년 12월
- 유출 정보  :  원전 설계도, 내부 문서 등
- 유출 규모  :  약 10,000건 문서 (추정)
- 공격 주체  :  북한 해커 그룹 (확정)

사건 요약

2014년 12월, 북한 해커 조직이 한국수력원자력을 해킹하여 원전 설계도와 내부 기밀 문서를 탈취했다. 해커는 SNS를 통해 “원전을 가동 중단하지 않으면 추가 정보를 공개하겠다"고 협박했다. 원자력 발전소 보안이 뚫린 초유의 사태로 국가 안보에 심각한 위협이 되었다. 실제 원전 제어 시스템은 물리적 격리로 침투당하지 않았으나, 설계도 유출로 테러 가능성이 제기되었다. 정부는 비상 대응 체제를 가동했으며, 원전 보안이 전면 재점검되었다.

[ 1.1 상세 경위 ]

- 침투 시점  :  2014년 9월 - 11월 (추정)

공격 단계

- 1단계 초기 침투  :  한수원 직원 대상 스피어 피싱, 악성 이메일 첨부파일, PC 감염 및 내부망 침투
- 2단계 정보 수집  :  약 2-3개월간 잠복, 내부 문서 수집, 원전 설계도 탐색 및 수집
- 3단계 외부 반출  :  수집한 문서 C&C 서버로 전송
- 4단계 협박 시작 (2014년 12월)  :  SNS 계정 개설, 트위터에 "원전 정보 보유" 주장, 일부 문서 공개, "원전 가동 중단하라" 협박

유출 정보

- 원전 설계도 (일부)  :  건물 구조도, 배관 설계도, 안전 시스템 일부
- 내부 문서  :  직원 명단, 조직도, 회의록, 매뉴얼 등
- 총 약 10,000건 문서 (추정, 정확한 규모 미공개)

중요

원전 제어 시스템 (계측제어계통)은 물리적으로 격리되어 있어 침투 안 됨. 사무망만 침투된 상태.

협박 내용

- 트위터 계정  :  "원전 반대 그룹" (가명)
- "12월 25일까지 월성, 고리, 한빛 원전 가동 중단하라"
- "중단 안 하면 추가 정보 공개 및 공격"

[ 1.2 타임라인 ]

- 2014년 9-11월  :  북한 해커 스피어 피싱, 일부 직원 PC 감염, 내부망 침투 및 정보 수집
- 2014년 12월 15일  :  트위터 "원전 반대 그룹" 계정 등장, 일부 내부 문서 공개 (증명)
- 2014년 12월 16일  :  한수원 긴급 점검, 유출 사실 확인, 경찰 신고, 국가정보원 참여
- 2014년 12월 17일  :  언론 보도 시작 ("한수원 해킹, 원전 정보 유출")
- 2014년 12월 18일  :  정부 긴급 대책 회의 (국무총리 주재), 원전 보안 점검 지시
- 2014년 12월 19일  :  트위터 계정 추가 협박 ("12월 25일까지 원전 중단하라")
- 2014년 12월 20-24일  :  한수원 전사 보안 점검, 전 직원 PC 점검, 악성코드 제거, 물리적 보안 강화
- 2014년 12월 25일  :  원전 정상 가동 지속, 해커 추가 공격 없음 (협박만)
- 2014년 12월 26일 - 2015년 1월  :  국정원, 경찰 합동 수사, 북한 소행 확정
- 2015년 3월  :  정부 발표 "북한 정찰총국 소행 확정", "원전 제어 시스템은 안전"
- 2015년 4월 -  :  한수원 보안 시스템 전면 개편, 전 원전 보안 강화

[ 2. 법률 분석 ]

[ 2.1 적용 법률 ]

- 원자력시설 등의 방호 및 방사능 방재 대책법 (원자력방호법)
- 정보통신기반보호법
- 형법 (간첩죄, 국가기밀 누설)
- 정보통신망법

이유

한수원 = 원자력 시설. 원전 = 국가 핵심 시설. 북한 해킹 = 간첩 행위.

[ 2.2 원자력방호법 위반 ]

법 제2조 (정의)

- 원자력시설  :  원자로, 관계 시설 등
- 방호  :  원자력시설을 해체, 손괴 또는 정상적 운전을 방해하는 행위로부터 보호

해커 행위

- 원전 설계도 탈취 = 방호 위협, 테러 가능성

법 제45조 (벌칙)

- 원자력시설을 파괴하거나 정상적인 운전을 방해할 목적으로 방호에 관한 정보를 탐지·수집·누설한 자
- 처벌  :  10년 이하의 징역

[ 2.3 형법 - 간첩죄 ]

형법 제111조 (간첩)

- 조문  :  적국을 위하여 간첩하거나 적국의 간첩을 방조한 자는 사형, 무기 또는 7년 이상의 징역에 처한다
- 해당  :  북한 = 적국, 원전 정보 탈취 = 간첩 행위
- 처벌  :  사형, 무기 또는 7년 이상 징역 (가장 무거움)

형법 제98조 (간첩 목적의 침입)

- 조문  :  간첩할 목적으로 대한민국에 침입한 자 = 사형, 무기 또는 10년 이상의 징역

[ 2.4 정보통신기반보호법 ]

법 제14조 (벌칙)

- 조문  :  주요정보통신기반시설에 대하여 전자적 침해행위를 한 자는 10년 이하의 징역 또는 1억원 이하의 벌금
- 해당  :  한수원 = 주요정보통신기반시설 (국가 지정)

[ 2.5 처벌 결과 ]

북한 해커

- 검거 불가 (북한 소재), 처벌 없음

법적 적용 시

- 간첩죄  :  사형, 무기 또는 7년 이상 징역
- 원자력방호법  :  10년 이하 징역
- 정통기반법  :  10년 이하 징역

한수원

- 보안 책임 (안전조치 의무 위반 가능)
- 국영기업 = 별도 처벌 없음, 내부 징계 (담당자)

국가 대응

- 보안 시스템 전면 개편, 예산 증액, 조직 강화

[ 2.6 국가 안보 차원 ]

원전 = 국가 핵심 시설

- 테러 대상 1순위
- 설계도 유출 = 테러 가능성, 방사능 누출 위험

대북 관계

- 정부 발표 (2015년 3월)  :  "북한 정찰총국 소행 확정"
- 유엔 안보리 제재 강화 요청, 국제 사회 북한 규탄

[ 3. 기술적 분석 ]

[ 3.1 공격 기법 ]

스피어 피싱

- 한수원 직원 대상 맞춤형 이메일
- "원전 안전 점검 결과" 등 업무 관련 제목
- 악성 첨부파일 (한글 문서 위장)

내부망 침투

- 감염 PC에서 내부망 접근
- 사무망 침투 (제어망 아님)
- 정보 수집

장기 잠복

- 약 2-3개월 잠복
- 은밀히 정보 수집, 탐지 회피

[ 3.2 물리적 격리 (Air-Gap) ]

핵심 사항

- 원전 제어 시스템 (계측제어계통) = 물리적으로 격리
- 인터넷 연결 안 됨, 사무망과 분리

해커 침투 범위

- 사무망만 침투 (제어 시스템 침투 못함)
- 설계도, 문서 등 유출 (사무망 저장 파일)
- 실제 원전 가동 중단 불가능
- 하지만 설계도 유출 = 테러 위험

[ 3.3 보안 취약점 분석 ]

스피어 피싱 대응 부족

- 문제  :  직원이 악성 첨부파일 실행, 원전 = 국가 핵심 시설인데 교육 미흡
- 대책  :  정기 보안 교육 (월 1회), 모의 훈련 (분기 1회), 첨부파일 샌드박스 검사

내부망 침투 허용

- 문제  :  사무망에서 설계도 접근 가능, 설계도 사무망 저장이 문제
- 대책  :  설계도 = 별도 격리망 저장, 접근 통제 강화

APT 탐지 실패

- 문제  :  2-3개월 잠복 탐지 못함
- 대책  :  IDS/IPS, SIEM, 24/365 모니터링

문서 접근 통제 부족

- 문제  :  설계도 접근 통제 미흡, 일반 직원도 접근 가능 (PC 감염 시)
- 대책  :  설계도 = 극비 등급, DRM, 접근 권한 최소화

[ 3.4 사후 보안 강화 조치 ]

- 사무망 - 설계망 - 제어망 완전 분리 (물리적 격리)
- 제어망 = 인터넷 완전 차단
- 설계도 DRM 전면 적용, 등급별 접근 통제 (극비/비밀/대외비)
- 모든 첨부파일 샌드박스 검사, 실행 파일 차단
- 차세대 IDS/IPS, SIEM, 24/365 보안관제센터
- 전 직원 월 1회 보안 교육, 모의 훈련 (분기 1회)
- 원전 출입 통제 강화, CCTV 확대, 경찰 상시 배치
- 한수원 자체 보안팀 확대, 국정원 파견 인력 증원

[ 4. 대응 평가 ]

잘한 점

- 신속한 대응  :  유출 확인 즉시 경찰, 정부 신고 및 긴급 점검
- 투명한 공개  :  언론 브리핑, 국민 안심 메시지 ("제어 시스템 안전")
- 원전 정상 가동  :  협박에 굴복 안 함, 원전 계속 가동
- 보안 개편  :  사건 후 보안 시스템 전면 개편

미흡한 점

- 사전 예방 실패  :  스피어 피싱 대응 부족, 2-3개월 잠복 탐지 못함
- 설계도 관리 부실  :  사무망에 저장 (별도 격리망 필요했음)
- 늦은 발견  :  12월 발견 = 9월 침투 추정 (약 3개월 지연)

[ 5. 교훈 및 시사점 ]

[ 5.1 기술적 교훈 ]

물리적 격리 (Air-Gap) 필수

- 원전 제어 시스템 = 반드시 물리적 격리
- 한수원은 제어망 격리되어 있어 최악 면함
- 대응  :  핵심 시스템 = 물리적 격리, 인터넷 완전 차단

설계도 = 별도 보안

- 설계도 = 테러 정보, 사무망 저장 금지
- 대응  :  설계도 전용 격리망, 접근 통제 극대화, DRM

스피어 피싱 = 최대 위협

- 원전 직원 = 표적
- 대응  :  월 1회 교육, 모의 훈련, 첨부파일 샌드박스

APT 탐지

- 2-3개월 잠복 = 탐지 실패
- 대응  :  24/365 모니터링, SIEM, AI 이상 탐지

원전 = 최고 수준 보안

- 국가 핵심 시설, 테러 대상, 최고 수준 투자 필요
- 대응  :  국가 예산 지원, 국정원 직접 관리

[ 5.2 법률적 교훈 ]

원전 해킹 = 간첩죄

- 형법 제111조  :  사형, 무기 또는 7년 이상 징역
- 한계  :  북한 = 검거 불가, 실효성 없음

원자력방호법

- 원전 정보 수집 = 10년 이하 징역

정보통신기반보호법

- 원전 = 주요기반시설, 침해 = 10년 이하 징역

[ 5.3 국가 안보 교훈 ]

원전 = 테러 표적

- 설계도 = 테러 계획 정보
- 물리적 공격 + 사이버 공격 복합 가능
- 대응  :  이중 삼중 방어 (물리적 + 사이버)

북한 사이버 위협 연표

- 2009년  :  7.7 DDoS 대란
- 2011년  :  농협 해킹
- 2013년  :  3.20 사이버테러, 청와대 해킹
- 2014년  :  한수원 해킹
- 지속적 공격 패턴 확인

국가 핵심 시설 보안

- 원전, 댐, 발전소, 통신망 등
- 국가 안보 차원 관리 필요
- 대응  :  국정원 직접 관리, 최고 수준 투자

[ 5.4 사회적 영향 ]

- 국민 불안 증가  :  "원전 안전한가?", 탈원전 논쟁 촉발
- 정부 대응  :  "제어 시스템 안전" 강조, 물리적 격리 설명, 국민 안심 노력
- 전 원전 보안 강화  :  한수원뿐 아니라 전국 원전 보안 점검

[ 6. 주요 원전 사이버 공격 사건 비교 ]

한수원 (2014.12)

- 대상  :  한국 원전
- 공격자  :  북한
- 피해  :  설계도 유출

우크라이나 전력망 (2015.12)

- 대상  :  우크라이나 발전소
- 공격자  :  러시아
- 피해  :  정전 (23만 명)

이란 나탄즈 (2010)

- 대상  :  이란 핵시설
- 공격자  :  미국·이스라엘 (Stuxnet)
- 피해  :  원심분리기 파괴

한수원 특징

- 아시아 최초 원전 해킹
- 북한 소행, 설계도 유출
- 제어 시스템 안전 (물리적 격리)
- 협박 (원전 중단 요구)

[ 7. 체크리스트 ]

물리적 격리 (Air-Gap)

- 제어망 = 인터넷 완전 차단
- 사무망 - 설계망 - 제어망 분리
- USB 차단 (제어망)
- 물리적 케이블 분리

문서 보안

- 설계도 = 극비 등급
- 별도 격리망 저장
- DRM 전면 적용
- 접근 권한 최소화 (Need-to-Know)
- 출력/복사 제한
- 워터마크

스피어 피싱 대응

- 전 직원 월 1회 보안 교육
- 모의 훈련 (분기 1회)
- 이메일 첨부파일 샌드박스
- 실행 파일 차단
- 외부 이메일 경고

APT 탐지

- 차세대 IDS/IPS
- SIEM
- 24/365 보안관제센터
- AI 이상 탐지
- 외부 통신 모니터링

물리적 보안

- 출입 통제 강화
- CCTV
- 경찰 상시 배치
- 보안 구역

조직

- 자체 보안팀
- 국정원 협조 체계
- 충분한 예산

훈련

- 사이버 공격 대응 훈련 (분기 1회)
- 물리적 테러 대응 훈련
- 복합 재난 대응

[ 8. 관련 법령 ]

원자력시설 등의 방호 및 방사능 방재 대책법

- 제2조  :  정의
- 제45조  :  벌칙 (10년 이하 징역)

형법

- 제98조  :  간첩 목적 침입 (사형·무기·10년 이상)
- 제111조  :  간첩 (사형·무기·7년 이상)

정보통신기반보호법

- 제14조  :  벌칙 (10년 이하 징역)

정보통신망법

- 제48조  :  벌칙 (5년 이하 징역)

[ 9. 실무 적용 ]

[ 9.1 물리적 격리 (Air-Gap) 구현 ]

원칙

- 인터넷과 완전 분리

구현 방법

- 물리적 케이블 분리 (네트워크 케이블 없음)
- 무선 통신 차단 (WiFi, Bluetooth 차단)
- USB 차단 (물리적 포트 제거)
- 광학 드라이브 제거 (CD/DVD)
- 모니터 TEMPEST 차폐 (전자파 차단)

데이터 반입 절차

- 필요 시 검증된 USB (백신 스캔)
- 승인 절차 (상급자 승인)
- 로그 기록

[ 9.2 원전 설계도 관리 ]

- 등급  :  극비 (최고 등급)
- 저장  :  별도 격리망 (인터넷 차단), 암호화 저장, 접근 로그 기록
- 접근  :  Need-to-Know 원칙, 이중 인증 (2FA), 상급자 승인
- 출력/복사  :  원칙적 금지, 예외 허용 시 승인 + 로그 + 워터마크
- DRM  :  열람 권한 제어, 유효기간 설정, 화면 캡처 방지
- 폐기  :  물리적 파쇄 (종이), 완전 삭제 (전자)

[ 9.3 스피어 피싱 시뮬레이션 ]

목적

- 직원 경각심 제고

방법

- 모의 피싱 이메일 발송 (IT팀)
- 첨부파일 클릭 시 경고 페이지
- 클릭한 직원 = 재교육 (1:1)
- 결과 통계 (클릭률) 분석

예시 이메일

- 발신  :  원자력안전위원회 (위조)
- 제목  :  [긴급] 원전 안전 점검 결과
- 내용  :  "첨부 파일 확인 바랍니다"
- 첨부  :  안전점검결과.hwp (가짜)

클릭 시 메시지

- "이것은 모의 훈련입니다. 실제 공격이었다면 원전이 위험했습니다. 보안 교육을 다시 이수하세요."

[ 9.4 원전 사이버 공격 대응 훈련 ]

시나리오

- "북한 해커가 원전 사무망 침투. 설계도 탈취 시도. 제어망 침투 시도."

훈련 절차

- 1단계  :  공격 탐지 (SOC)
- 2단계  :  CSIRT 소집
- 3단계  :  사무망 격리
- 4단계  :  제어망 점검 (물리적 격리 확인)
- 5단계  :  국정원 보고
- 6단계  :  경찰 신고
- 7단계  :  악성코드 분석
- 8단계  :  유출 범위 확인
- 9단계  :  복구

평가 항목

- 탐지 시간, 대응 시간, 팀 협업, 커뮤니케이션, 개선점

[ 학습 정리 ]

- 2014년 국내 최초 원전 해킹 (북한 확정)
- 스피어 피싱으로 사무망 침투, 약 2-3개월 잠복
- 원전 설계도 및 내부 문서 약 10,000건 유출
- SNS 통해 "원전 중단하라" 협박
- 원전 제어 시스템은 물리적 격리로 침투 안 됨 (다행)
- 간첩죄 적용 시 사형·무기·7년 이상 징역
- 원자력방호법 10년 이하, 정통기반법 10년 이하
- 설계도 사무망 저장이 문제 (별도 격리망 필요)
- 스피어 피싱 대응 부족 (직원 교육 미흡)
- APT 탐지 실패 (2-3개월 잠복)
- 물리적 격리 (Air-Gap) 필수 (제어망 = 인터넷 차단)
- 설계도 = 극비 등급 관리 (DRM, 접근 통제)
- 원전 = 국가 안보 차원 최고 수준 보안 필요
- 테러 위험 (설계도 = 테러 계획 정보)
- 사이버 + 물리적 보안 복합 대응 필요