北 사이버공격? 제3자의 연막전술?

中 선양은 北 정찰총국 전진기지… 해커, 북한식 단어 '아닌 보살' 사용

北 의심 단서 일부러 흘렸을 수도… 檢, 한수원 자료 유출 경로 파악 중

북한 해커들에 의한 사이버 공격일까, 아니면 북한을 의심하도록 유도하기 위한 고도의 연막전술인 걸까. 원자력발전소 도면을 인터넷에 올린 자칭 ‘원전반대그룹’이 사용했던 인터넷 주소(IP)가 중국 선양(瀋陽)에 집중돼 있는 것으로 드러나면서, 수사 초기임에도 불구하고 벌써부터 “북한의 소행이라는 결론이 날 것”이라는 관측이 나오고 있다.

중국 랴오닝성의 성도(省都)인 선양은 북한 정찰총국 소속 해커들이 상당수 활동하는 곳으로 알려져 있다. 대남 사이버 공격의 전진기지로 불린다. 개인정보범죄 정부합동수사단(이하 합수단)은 지난 15일 네이버에 원전 도면이 최초 공개됐을 때 쓰인 IP 가운데 20~30개가 선양에 몰려 있는 것으로 확인했다. 접속 횟수도 200여회에 달했다.

북한과의 관련성을 떠올리게 하는 대목은 또 있다. 지난 21일 원전반대그룹은 트위터 글 첫머리에 ‘아닌 보살’(시치미를 뗀다는 뜻)이라는 문구를 썼는데, 이는 북한에서 주로 쓰는 표현이다. 북한이 가장 유력한 용의자라는 가설을 세울 수 있는 정황들이다.

그러나 속단은 이르다. 선양에서 발견된 IP들이 실제 해커들이 존재하는 곳이 아니라 ‘우회 IP’일 수 있다. 합수단 관계자는 “중국 내 다른 지역이나 제3의 국가에서 중국 내 인터넷 가상사설망(VPN)을 통해 선양의 IP를 도용했을 가능성을 배제 못한다”며 “중국 공안당국과 사법공조를 통해 IP 추적을 계속해야 한다”고 말했다. 즉 북한 관련 단서들을 일부러 흘려 수사에 혼선을 주고 자신들에 대한 추적을 피하려 했을 수도 있다는 얘기다. 따라서 수사 초기에 불과한 지금까지 드러난 정황만으로는 북한과의 관련성이 있다고 단정할 수도, 부인할 수도 없다는 게 합수단의 설명이다.

현재 검찰은 이처럼 과연 누가 원전 도면을 인터넷에 공개하고 ‘25일 공격’을 예고했는지, 즉 범인 추적에 수사의 초점을 맞추고 있다. 하지만 이와 별도로 진행 중인 한수원 내부 자료의 유출 경로 파악을 통해 유의미한 단서가 포착될 수도 있다. 정말로 외부 해킹을 통해 자료가 유출됐는지, 한수원 내부자가 빼낸 것인지 아직은 윤곽이 드러나지 않았지만 한수원 내부자의 소행으로 드러날 경우 북한 해커가 사건을 주도했다는 가설은 다시 의심스러워진다. 이와 관련해 합수단 관계자는 “유출 자료를 취급한 한수원 직원과 협력사 관계자들의 컴퓨터를 제출받아 분석 중”이라며 “아직까진 자료 유출 기능이 있는 악성코드가 발견되진 않았다”고 말했다.

김정우기자 wookim@hk.co.kr