퇴직자·재직자 이메일 계정도 파악
발송사·게시자 IP 대부분 中 선양
원자력발전소 도면 유출은 수년 전부터 치밀하게 준비된 범행이라는 정황이 속속 드러나고 있다. 누가, 어떤 목적으로 한국수력원자력을 노렸는지 의문이 커지지만 실체 규명에는 시간이 걸릴 것으로 보인다.
25일 개인정보범죄 정부합동수사단에 따르면 지난 9일 한수원 직원들에게 악성코드 300여종이 심어진 한글 파일을 첨부해 보낸 정체불명의 발송자는 이메일을 수신할 현직 직원 수백명의 이메일 주소는 물론, 이메일을 발송할 퇴직자 수십명의 명단까지 확보한 상태였다. 보내는 퇴직자들이 개인적으로 사용하는 이메일 계정(다음 메일)도 파악, 도용했다. 그리고 일반 스팸메일이 아니라 “○○○○의 도면입니다”라는 식으로 업무용 메일임을 가장해 수신인이 악성코드가 있는 첨부 파일을 열어보도록 유도했다. 사전에 한수원 내부 자료가 무방비로 털렸다는 얘기인데, 이는 곧 한수원을 목표로 상당기간 동안 치밀하게 범행을 계획했다고 볼 수 있다. 합수단 관계자는 “오래 전부터 준비해 온 것만큼은 분명해 보인다”고 말했다.
합수단이 동일범으로 볼 정도로 악성코드 이메일 발송자와 원전 도면 게시자 사이에 연관성은 뚜렷하다. 이메일 발송을 위한 접속 지역의 인터넷 주소(IP)는 대부분 중국 선양(瀋陽)인 것으로 드러났다. 15일 자칭 ‘원전반대그룹’이 한수원 해킹 사실을 처음으로 공개할 때에도 같은 지역의 IP 20~30개가 사용됐으며, 이와 IP 끝자리만 다른 식이다. 지난 22일 트위터에서 이들은 한수원을 조롱하면서 “(이메일 공격을 한) 12월 9일을 역사적인 날로 만들 것이다”라고 했다.
물론 현 단계에서 악성코드가 원전 내부 자료를 빼냈다고 단정할 수는 없다. 합수단은 악성코드들의 구체적인 유형, 한수원 업무용 컴퓨터의 ‘좀비 PC’ 감염 여부 등에 대해 “분석 중”이라고 했다. 여전히 내부자가 유출에 연루됐을 가능성을 배제할 수 없는 상황이다. 하지만 무려 300개 이상의 악성코드가 무더기로 한수원 직원들에게 발송된 만큼, 이 중에 자료를 빼내는 기능을 갖춘 ‘사이버 폭탄’이 포함돼 있을 가능성도 충분해 보인다. 어쨌든 사태 초기 “일부 직원 이메일로 들어온 악성코드에는 자료 유출 기능이 없다”고 단언했던 한수원 측 입장과는 상황이 달라진 것이다.
합수단 관계자는 “한수원 내부 자료 유출에 한수원 본사나 협력사 직원의 협력이 있었는지, 해킹에 의한 것인지는 좀더 따져봐야 한다. 경우의 수가 많다”고 말했다. 더구나 합수단은 현재 이 부분보다는 원전 도면을 인터넷에 공개한 ‘범인 추적’ 쪽에 수사 초점을 맞추고 있다. 따라서 수개월이 걸릴 것으로 예상되는 범인 검거만큼이나 유출 경로에 대한 수사 역시 장기화할 공산이 크다.
김정우기자 wookim@hk.co.kr
기사 URL이 복사되었습니다.
댓글0