서비스 메뉴 바로가기 본문 바로가기 아티클 바로가기 프로그램 목록 바로가기

합수단, '한수원 해킹' 퇴직자 메일 계정 55개 사용

입력 2014-12-26 17:07
크게 작게 프린트 메일
URL 줄이기 페이스북 X

한국수력원자력의 원전 설계도면 등 내부자료 유출사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 해킹에 도용된 것으로 추정되는 이메일 계정은 총 211개로 이 가운데 한수원 퇴직자 명의로 된 계정은 약 55개로 추산된다고 26일 밝혔다.

합수단은 지난 9일 한수원 직원 수백명의 사내 메일로 발송된 이메일을 분석한 결과, 퇴직자 명의로 확인된 계정 외에 다른 이메일 계정은 제3자 명의를 도용한 것으로 추정했다.

또 9일 외에도 추가로 12월10~12일에도 공격성 악성코드가 담긴 메일이 6회에 걸쳐 발송된 것으로 확인됐다.

합수단에 따르면 이메일에 한글파일 형태로 첨부된 악성코드에는 파일삭제만 가능할 뿐 자료유출 기능은 없는 것으로 확인됐다.

이메일은 마치 업무상 필요한 내용이 담긴 것처럼 '견적서', '자료배포', '송전선로', '프로그램 관련 문서' 등의 제목으로 각 메일마다 15개 안팎의 첨부파일이 다음, 지메일, 네이트, 핫메일 등을 통해 발송됐다.

합수단은 또 '원전반대그룹'이 협박성 게시물을 올릴 때 사용한 IP(인터넷 주소)로 동일한 시간대에 한수원 퇴직자 ID로 접속한 사실도 확인했다.

이를 토대로 합수단은 악성메일을 보낸 지난 9일부터 유출 자료를 세 번째 공개한 19일까지 중국 선양지역 IP로 300회 이상 접속한 것으로 판단했다.

악성코드에 감염된 컴퓨터는 업무용 3대, 외부용(인터넷 PC) 1대로 이들 컴퓨터를 재부팅하면 'WHO AM I'가 출력되는 상태로 화면에 보이도록 하는 기능이 확인됐다. 다만 한수원 내부망이나 다른 업무용 컴퓨터는 악성코드에 감염되지 않은 것으로 합수단은 잠정 결론 냈다.

합수단은 이와 함께 퇴직자 명의로 11월29일 이전에 여러차례 로그인한 기록을 감안해 공격성 악성코드를 한수원 내에 침투시키거나 해킹을 한 것은 11월말 전부터 오랜 기간에 걸쳐 치밀하게 준비해온 것으로 보고 있다.

합수단 관계자는 "결론적으로 정보 유출은 9일 이전에 행해진 것으로 보인다"며 "9일 (발송한)이메일을 통해 자료를 빼내려는 시도보다는 파일을 좀 망가뜨리고 컴퓨터를 고장시키려는 의도로 보인다"고 말했다.

또 "도용된 걸로 추정되는 퇴직 직원들 명의로 로그인 된것도 9일 이전 몇달전부터 로그인된 흔적이 있었다"며 "그걸로 봐서는 급하게 1~2주 정도 차원이 아니라 최소한 몇 달 전부터 준비한 걸로 보인다"고 덧붙였다.

(뉴시스)
광고

JTBC 핫클릭