[기독일보 윤근일 기자] 개인정보범죄정부합동수사단(단장 이정수 부장검사)은 25일 한국수력원자력 산하 원자력발전소들의 원전설계도면을 비롯한 내부자료 유출에 한수원 퇴직자들의 이메일이 도용된 점을 확인했다고 밝혔다.
특히 합수단은 유출범이 이메일에 업무상 필요한 도면 등이 포함된 것처럼 제목을 작성하고, 한글 파일 유형의 첨부파일에 각종 악성코드가 심어진 것을 파악했다. 합수단이 파악한 악성코드는 모두 300여종으로 파일 유출, 파일 삭제, 원격제어 기능 등이 담겼다.
이 과정에서 유출범은 한수원 퇴직자들의 회사 이메일이 아닌 다음 등 국내 포털사이트 이메일 계정을 도용해 현직 한수원 직원들에게 한번에 9개 단위로 이메일을 분산 발송한 것으로 확인했다. 한꺼번에 이메일을 대량 발송했을 시 악성코드가 포함된 이메일이라는 사실이 드러날 수 있어 분산 발송한 것으로 합수단은 보고 있다.
합수단은 유출범이 어떤 식으로 한수원 퇴직자 이메일 계정 등 개인정보를 입수할 수 있었는 지 확인 중이다. 특히 발송한 이메일의 인터넷 주소(IP)는 다른 이메일과 마찬가지로 중국 선양을 거쳐 발송됐다.
앞서 합수단은 유출범이 쓴 IP를 추적한 결과 20~30여개 IP가 지난 15일 하루 동안 중국 선양에서 200여차례 이상 집중적으로 접속한 사실을 확인한 바 있다. 지난 15일은 해킹 조직으로 추정되는 원전반대그룹(WHO AM I)이 트위터와 인터넷 블로그 등을 통해 한수원의 원전 관련 자료를 처음으로 공개하며 협박 게시물을 올린 날이기도 하다.
이 때문에 합수단은 악성코드 이메일을 보낸 조직(인물)이 이 사건 유출자로 추정되는 조직(인물)과 동일한 주체일 것으로 의심하고 있다.
합수단 관계자는 "공개된 자료가 1~2년 전의 자료인 점, 수십여개의 IP를 사용해 우회 접근하고 퇴직자의 이메일까지 도용한 점 등을 고려하면 상당히 오랜 기간 준비해 온 것으로 보인다"며 "모든 가능성을 열어두고 수사하고 있다"고 설명했다.
합수단이 IP 추적을 통해 지족한 중국 선양은 북한 인접지역으로 수년 전부터 북한 정찰총국 사이버 요원들이 대거 파견돼 대남 사이버 공격 업무를 수행해온 것으로 알려진 곳이다. 합수단은 북한 소행 가능성도 염두해 두고 과거 북한의 해킹 공격과 유사성을 비교중이다.
