한국수력원자력의 원전 설계도면 등 내부 기밀문서 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 부장검사)은 22일 한수원의 내부 자료를 빼돌린 유출자가 국내 가상사설망(VPN) 등을 이용해 IP 주소를 숨긴 흔적을 포착하고 유출자의 신원과 위치를 쫓고 있다.
합수단은 해킹 조직 일원으로 추정되는 원전반대그룹(Who Am I)이 한수원의 내부 자료를 유출하면서 사용한 네이버 ID의 가입자 정보를 토대로 지난 21일 ID 명의자의 대구 주소지 등에 수사관을 보내 컴퓨터와 서버를 수색한 결과 해당 ID가 도용된 것을 확인했다.
다만 실제 ID 명의자가 혐의를 부인하고 ID가 도용된 만큼 유출 용의자의 신병을 확보하지는 못했다. 합수단은 유출자가 사용한 것으로 의심되는 네이트 ID 등에 대한 추적에도 나섰지만 네이버 ID의 경우처럼 도용된 ID일 가능성이 높다.
합수단은 유출자의 IP가 여러 곳에서 분산 발견되고 있는 만큼 최초 시작 지점을 쫓는 데 주력하고 있다. 게시자의 IP 주소는 대부분 국내에서 발견됐지만 일부 IP는 미국과 일본 등 해외에 있는 것으로 파악됐다.
특히 합수단은 유출자가 가상사설망 등을 이용해 IP주소를 여러 차례 옮기는 방식으로 우회 접속했을 가능성에 무게를 두고 국내 가상사설망 업체에 대한 통신영장(통신사실 확인자료 제공 요청 허가서)을 통해 해당 업체의 통신 내역을 조사 중이다. 가상사설망 업체에서 할당된 IP에 대한 추적도 이뤄질 것으로 보인다.
검찰 관계자는 "(유출자로 추정되는 인물이) 가상사설망 등을 통해 이리저리 옮겨 다닌 것으로 보인다"며 "범인의 신원을 파악하기 위해서는 시간이 필요하다"고 말했다.
합수단은 또 해킹 조직 일원으로 추정되는 한 트위터 사용자가 추가 유출을 예고한 것과 관련해서는 미국 FBI에 국제공조수사를 요청한 상태다. 해당 트위터 계정의 IP 주소는 파악되지 않은 상태며, 계정 등록 당시 입력된 주소지는 프랑스로 확인됐다. 트위터 서버가 미국에 있는 만큼 해당 계정에 대한 추적에도 시간이 소요될 것으로 보인다.
또 다른 검찰 관계자는 "트위터는 사실상 사용자 특정에 어려운 측면이 있다"며 "FBI와 공조가 이뤄진다고 해도 빠른 시일 안으로 사용자가 특정될 지는 미지수"라고 말했다.
아울러 합수단은 원전 설계도가 유출된 부산 기장군 고리원전과 경북 경주시 월성원전 직원들의 컴퓨터 하드디스크를 임의 제출 받아 분석 중이다. 해당 원전의 관련자들을 직접 불러 내부 문서 작성·관리 시스템과 내부 유출 가능성 등에 대해서도 조사했다.
합수단은 직원들의 컴퓨터가 악성 프로그램에 감염돼 '좀비 PC'로 활용됐을 가능성, 한수원 서버에 대한 직접적인 해킹 공격으로 인해 보안시스템이 무력화됐을 가능성, 직원들이 보안 점검 등의 명목으로 자료를 유출했을 가능성 등을 모두 열어 놓고 있다.
합수단 관계자는 "악성 코드 감염이나 서버에 대한 직접적인 해킹 등 가능성은 모두 보고 있다"며 "내부 유출 가능성도 예를 들면 직원이 유출한 것인지, 용역업체 직원 등을 통해 유출했는지, 아니면 퇴직자 등 제3자가 유출했는지 등 가능성은 다 있다"고 말했다.
이와 관련해 합수단은 직원들의 컴퓨터 일부가 악성 프로그램에 감염돼 이른바 '좀비 PC'로 활용된 흔적을 포착한 것으로 전해졌다. 좀비 PC를 이용한 해킹은 지난해 방송사와 금융기관 등의 전산망을 마비시킨 '3·20 사이버테러' 당시 북한 정찰총국이 사용했던 수법이다.
또 트위터를 통해 추가 유출을 경고한 트위터 사용자가 공격을 알리면서 '청와대, 아직도 아닌 보살'이라는 표현을 사용한 것 역시 이번 해킹을 북한의 소행으로 추정할 수 있는 근거 중 하나로 꼽히고 있다. '아닌 보살'은 북한에서 '시치미를 뗀다'는 뜻으로 주로 쓰이는 것으로 전해진다.
이에 대해 합수단 관계자는 "북한과의 관련 가능성을 배제하지 않고 있다"면서도 "글을 올리는 방식이나 코드 등이 비슷하다고 해서 북한과 연관 있다고 단정할 수는 없다"고 말했다.
한편 한수원의 내부 기밀문서 유출은 지난 15일부터 이어져 21일 4번째 유출이 발생했다.
21일에는 자신을 '원전반대그룹 회장'이라고 밝힌 한 트위터 사용자가 한수원을 겨냥해 '이런 식으로 나오면 아직 공개 안 한 자료 10여만장도 전부 세상에 공개하겠다'고 경고했다. 이 사용자는 '성탄절부터 고리 1·3호기, 월성 2호기를 가동 중단하라'며 '크리스마스에 중단되는게 안 보이면 자료 전부 공개하고 2차 파괴를 실행할 수밖에…'라며 공격을 예고하기도 했다.
이에 대해 산업통상자원부는 같은날 보도자료를 내고 "원전 제어망은 사이버 공격이 원천적으로 불가능하다"며 "지금까지 공개된 자료는 핵심기술이 아닌 일반적 기술자료로 원전 안전에 미치는 영향은 없는 것으로 확인됐다"고 밝혔다.
[서울=뉴시스]
