합수단, 해커 신원 특정에 '주력'…가상사설망 통해 IP 숨겨
트위터 계정 추적 위해 美 수사당국에 공조수사 요청
'좀비PC' 감염 흔적 포착…한수원 컴퓨터 분석 중
한국수력원자력의 원전 설계도면 등 내부 기밀문서 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 부장검사)은 22일 한수원의 내부 자료를 빼돌린 해커가 국내 가상사설망(VPN) 등을 이용해 IP 주소를 숨긴 흔적을 포착하고 해커의 신원과 위치를 쫓고 있다.
합수단은 해킹 조직 일원으로 추정되는 원전반대그룹(Who Am I?)이 한수원의 내부 자료를 유출하면서 사용한 네이버 ID의 가입자 정보를 토대로 지난 21일 가입자의 대구 주소지 등에 수사관을 보내 컴퓨터와 서버를 수색한 결과 해당 ID가 도용된 것을 확인했다. 다만 ID 가입자가 혐의를 부인하고 ID가 도용된 만큼 실제 해커의 신병을 확보하지는 못했다.
이에 합수단은 해커가 사용한 것으로 의심되는 네이트 ID 등에 대한 추적에도 나섰다. 또 해커가 국내 가상사설망 등을 이용해 IP주소를 여러 차례 옮기는 방식으로 우회 접속했을 가능성에 무게를 두고 국내 가상사설망 업체에 대한 통신영장(통신사실 확인자료 제공 요청 허가서)을 통해 해당 업체의 통신 내역을 조사 중이다.
검찰 관계자는 "(해커로 추정되는 인물이) 가상사설망 등을 통해 이리저리 옮겨 다닌 것으로 보인다"며 "해커의 신원을 파악하기 위해서는 시간이 필요하다"고 말했다.
합수단은 또 해킹 조직 일원으로 추정되는 한 트위터 사용자가 추가 유출을 예고한 것과 관련해서는 미국 수사당국에 국제공조수사를 요청한 상태다. 하지만 해당 트위터 계정이 해외에 서버를 둔 이메일 주소로 만들어진 것으로 알려져 추적에는 다소 시간이 소요될 것으로 보인다.
아울러 합수단은 원전 설계도가 유출된 부산 기장군 고리원전과 경북 경주시 월성원전 직원들의 컴퓨터를 임의제출 받아 분석 중이다. 해당 원전의 관련자들을 직접 불러 내부 문서 작성·관리 시스템과 외부 유출 가능성 등에 대해서도 조사했다.
특히 합수단은 직원들의 컴퓨터 일부가 악성 프로그램에 감염돼 이른바 '좀비 PC'로 활용된 흔적을 포착한 것으로 전해졌다. 좀비 PC를 이용한 해킹은 지난해 방송사와 금융기관 등의 전산망을 마비시킨 '3·20 사이버테러' 당시 북한 정찰총국이 사용했던 수법이다.
또 트위터를 통해 추가 유출을 경고한 트위터 사용자가 공격을 알리면서 '청와대, 아직도 아닌 보살'이라는 표현을 사용한 것 역시 이번 해킹을 북한의 소행으로 추정할 수 있는 근거 중 하나로 꼽히고 있다. '아닌 보살'은 북한에서 '시치미를 뗀다'는 뜻으로 주로 쓰이는 것으로 전해진다.
이에 대해 합수단 관계자는 "북한과의 관련 가능성을 배제하지 않고 있다"고 말했다.
한편 한수원의 내부 기밀문서 유출은 지난 15일부터 이어져 21일 4번째 유출이 발생했다.
21일에는 자신을 '원전반대그룹 회장'이라고 밝힌 한 트위터 사용자가 한수원을 겨냥해 '이런 식으로 나오면 아직 공개 안 한 자료 10여만장도 전부 세상에 공개하겠다'고 경고했다. 이 사용자는 '성탄절부터 고리 1·3호기, 월성 2호기를 가동 중단하라'며 '크리스마스에 중단되는게 안 보이면 자료 전부 공개하고 2차 파괴를 실행할 수밖에…'라며 공격을 예고하기도 했다.
이에 대해 산업통상자원부는 같은날 보도자료를 내고 "원전 제어망은 사이버 공격이 원천적으로 불가능하다"며 "지금까지 공개된 자료는 핵심기술이 아닌 일반적 기술자료로 원전 안전에 미치는 영향은 없는 것으로 확인됐다"고 밝혔다.
(뉴시스)