한국원자력연구원이 북한 해커로 추정되는 집단의 해킹 공격을 받은 것으로 나타났다.

국회 정보위원회 소속 하태경 국민의힘 의원은 “원자력연구원 내부 시스템이 북한 정찰총국 산하 해커조직인 킴수키(kimsuky)로 추정되는 IP를 통해 해킹당했다”며 “국가정보원이 구체적 배후 세력을 조사 중”이라고 18일 밝혔다.

하 의원에 따르면 원자력연구원은 VPN(가상사설망) 취약점을 통해 신원 불명의 외부인이 접속했다며 지난달 14일 국정원 국가사이버안전센터에 신고했다. 외부 IP 13개가 VPN 시스템에 무단 침입한 기록이 발견된 것으로 전해졌다. VPN은 내부망처럼 이용할 수 있는 암호화된 인터넷망을 말한다.

하 의원은 “북한 사이버테러 전문 연구 그룹인 이슈메이커스랩을 통해 공격자 IP를 추적한 결과 킴수키가 지난해 노바백스, 셀트리온, 보령 등 제약사를 공격할 때 사용했던 서버와의 연결점이 발견됐다”고 설명했다. 그는 “해커가 사용한 IP 주소에선 문정인 전 대통령 통일외교안보특보의 이메일 아이디도 발견됐다”고 덧붙였다.

과학기술정보통신부와 원자력연구원은 “VPN 운영을 즉시 중단하고 공격자 IP 차단 등 필요한 조치를 했다”며 “피해 규모는 조사 중”이라고 밝혔다.

보안업계는 원자력연구원 내부 정보가 상당 부분 유출됐을 것으로 보고 있다. 경찰청 사이버테러 자문위원인 신승민 큐비트시큐리티 대표는 “외부 IP 13개가 무단 접속한 것으로 밝혀졌다면 실제로 공격에 사용된 IP는 10배가 넘을 것”이라며 “수십 일 동안 해커가 자유롭게 오가며 셀 수 없는 정보를 빼갔다고 봐야 한다”고 말했다. 피해 IP 1개당 데이터 전송량을 1GB씩만 잡아도 13GB 분량의 막대한 문서를 보낼 수 있다는 설명이다.

이해성/이시은 기자 ihs@hankyung.com