"한수원 직원들에 뿌려진 이메일… 유출 기능은 없는 PC파괴용"
감염 컴퓨터도 'Who am I' 문구 등… 합수단 "동일범 소행" 잠정 결론
자칭 ‘원전반대그룹’이 9일부터 한국수력원자력 퇴직자 명의로 무더기로 발송한 이메일에 포함된 악성 코드는 파일 유출이 아닌 PC 파괴를 목적으로 하는 ‘공격형 악성 코드’로 확인됐다. 수사당국은 해커들이 공개한 원전 도면 등 자료들이 이메일 공격 전에 유출됐을 가능성이 높다고 보고 있다.
원전 도면 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지 검 첨단범죄수사2부장)은 한수원 퇴직자 55명을 포함, 총 211명의 이메일 계정으로 현직 직원들에게 컴퓨터 파일을 파괴하는 기능을 하는 악성코드가 발송된 사실을 확인했다고 26일 밝혔다. 수백 건의 이메일 유포는 대부분 9일에 집중됐고 10~12일에도 6개가 발송된 것으로 확인됐다. 이메일은 ‘○○ 도면입니다’ ‘견적서’ ‘시방서’ ‘송전선로 프로그램 관련’ 등 한수원 직원이 별 생각 없이 열어볼 만한 ‘미끼 제목’이 달려 있었다. 악성코드에 감염된 한수원 컴퓨터는 외부 인터넷망에 연결된 외부용 1대와 내부 업무용 3대 등 총 4대다.
이메일 발송에 이용된 메일 계정은 포털 사이트 다음의 한메일, 구글의 지메일, MSN 핫메일 등이었으며 대부분 도용됐다는 판단이다. 합수단은 범인이 한수원 퇴직자 명단과 이메일 계정을 어떻게 확보했는지 경로를 추적하고 있다.
합수단 관계자는 “이메일의 경우 자료를 빼내려는 게 아니라 파일을 망가뜨리려는 의도로 확인된 만큼 유출 자료는 (메일 공격) 이전에 이뤄졌을 것으로 추정된다”고 말했다. 검찰은 내부자가 자료를 유출하기 위해 접속할 경우 로그 기록이 남는데다, 중국 선양(瀋陽)까지 복잡하게 우회한 점 등을 들어 일단은 전문적인 해커 집단의 소행일 가능성을 높게 보고 있지만 내부에서 유출됐을 가능성도 염두에 두고 있다. 합수단 관계자는 “최소한 수개월 전부터 준비한 것으로 보이고 혼자 했다고 보기엔 양이 많다”면서도 “한수원 내부자에 의한 유출, 협력업체의 유출, 각각에 대한 해킹 네 가지 가능성을 모두 보고 있다”고 말했다.
합수단은 악성코드를 심은 이메일 발송자와 15일 이후 수차례 네이버 블로그 등에 원전 도면 등을 게시한 인물이 동일범이라는 증거도 추가로 확보했다. PC에서 악성코드가 작동하면 데이터가 파괴된 후 재부팅을 할 때 ‘Who am I’라는 문장이 모니터에 나타나도록 돼 있는데, 이는 인터넷에 한수원 자료를 공개할 때 쓰인 문구와 같은 것이다. 또한 원전 자료 게시자가 동시에 같은 IP로 한수원의 퇴직자 아이디에 접속한 사실도 동일범이라는 추정을 가능케 한다고 합수단은 설명했다.
합수단은 또 이메일 공격이 집중됐던 9일부터 유출 자료가 3번째로 공개된 19일까지 동일범으로 추정되는 인물이 중국 선양에서 300회 이상 IP 접속을 한 사실도 파악했다. 북한이 이번 사태와 연관돼 있을 가능성을 높여주는 대목이지만 합수단은 “아직 단정할 수 없다”는 입장이다. 이번 이메일 공격 방식이 미국 영화사 소니픽처스 엔터테인먼트 해킹 때 쓰인 북한의 수법과 유사하다는 지적에 대해서도 “확인된 바 없다”고 선을 그었다. 합수단은 범인이 사용한 중국 선양발 IP를 추적하기 위해 중국 사법당국과 공조수사를 진행 중이다.
남상욱기자 thoth@hk.co.kr
기사 URL이 복사되었습니다.
댓글0