한국수력원자력의 원전 설계도면 등 내부자료 유출사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 해킹에 도용된 것으로 추정되는 한수원 퇴직자 명의 계정은 약 55개로 추산된다고 26일 밝혔다.
합수단은 지난 9일 한수원 직원 수백명의 사내 메일로 발송된 이메일을 분석한 결과, 퇴직자 명의로 확인된 계정 55개 외에 다른 이메일 계정은 제3자 명의를 도용한 것으로 추정했다.
명의도용 피해자 중에는 세종시에서 농업에 종사하는 농민도 포함된 것으로 전해졌다.
또 9일 외에도 추가로 12월10~12일에도 공격성 악성코드가 담긴 메일이 6회에 걸쳐 발송된 것으로 확인됐다.
합수단에 따르면 이메일에 한글파일 형태로 첨부된 악성코드에는 파일삭제만 가능할 뿐 자료유출 기능은 없는 것으로 확인됐다.
합수단은 또 '원전반대그룹'이 협박성 게시물을 올릴 때 사용한 IP(인터넷 주소)로 동일한 시간대에 한수원 퇴직자 ID로 접속한 사실도 확인했다.
이를 토대로 합수단은 악성메일을 보낸 지난 9일부터 유출 자료를 세 번째 공개한 19일까지 중국 선양지역 IP로 300회 이상 접속한 것으로 판단했다.
악성코드에 감염된 컴퓨터는 업무용 3대, 외부용(인터넷 PC) 1대로 이들 컴퓨터를 재부팅하면 'WHO AM I'가 출력되는 상태로 화면에 보이도록 하는 기능이 확인됐다. 다만 한수원 내부망이나 다른 업무용 컴퓨터는 악성코드에 감염되지 않은 것으로 합수단은 잠정 결론 냈다.
특히 'WHO AM I'는 원전반대그룹이 한수원 자료를 공개할 때 사용하는 문구와 동일한 것으로, 합수단은 악성코드를 심은 이메일 발송자와 지난 15일 이후 수차례에 걸쳐 네이버 블로그 등에 원전 설계도면 등 한수원 내부자료를 유출한 인물이 서로 동일범인 것으로 판단하고 있다.
합수단은 이와 함께 퇴직자 명의로 11월29일 이전에 여러차례 로그인한 기록을 감안해 공격성 악성코드를 한수원 내에 침투시키거나 해킹을 한 것은 11월말 전부터 상당히 오랜 기간에 걸쳐 치밀하게 준비해온 것으로 보고 있다.
한편 보안업계 일각에서는 지난 10월에도 이번 이메일 공격에서 사용된 악성코드와 유사한 악성코드가 국내에 유포됐다는 주장이 제기됐다.
당시 국내에 이메일을 통해 유포됐던 '두만강 포럼' 이라는 한글문서에서 악성코드가 발견됐는데 해당 악성코드의 확장자가 지난 9일 한수원 직원들에게 뿌려진 이메일 공격에 사용된 악성코드의 확장자와 상당 부분 유사하다는 것이다. 두만강 포럼에 심어진 악성코드는 정보 유출 기능까지 포함한 것으로 전해졌다.
두만강 포럼은 중국 연변대학이 개최하는 국제학술행사다. 지난 10월에도 연변에서 남한과 북한 및 중국의 학자들이 모인 바 있다.
