한국수력원자력의 원전 설계도면 등 내부 자료 유출 사건을 수사중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 유출자로 추정되는 인물이 접속한 인터넷 주소(IP)가 중국의 선양 지역에 집중된 것으로 파악됐다고 24일 밝혔다.
합수단은 수도권에 위치한 H사 등 국내 가상사설망(VPN)을 제공하는 업체 3곳에 대한 압수수색을 통해 관련 자료를 입수·분석해 유출에 사용된 IP 수백개를 역추적한 결과, 20~30여개 IP가 지난 15일 하루 동안 중국 선양에서 200여차례 이상 집중적으로 접속한 사실을 확인했다.
지난 15일은 해킹 조직으로 추정되는 원전반대그룹(WHO AM I)이 트위터와 인터넷 블로그 등을 통해 한수원의 원전 관련 자료를 처음으로 공개한 날이기도 하다.
VPN은 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화기법을 제공하는 서비스로, 가상사설망 업체는 서비스 가입자에게 IP를 할당해 준다. VPN을 거치면 게시글의 IP를 확인해도 소재지가 곧바로 특정되지 않는다. H사 등 3곳은 유출 자료가 담긴 글이 게시됐을 당시 사용된 IP를 할당해준 업체다.
이에 따라 합수단은 IP 접속자의 신병을 확보하기 위해 중국 당국과 형사사법공조 절차에 착수했다. 한·중 형사사법공조에 따르면 양국은 필요시에 우리 법무부와 중국 사법부 명의로 사법 공조를 상호 요청하게 돼 있다. 이르면 이날 안으로 중국 당국에 우리 측 요청이 전달될 것으로 보인다.
합수단은 범인이 중국에서 국내 가상사설망 업체에 가입한 뒤 인터넷망을 통해 트위터에 접속하거나 네이버, 네이트 등 국내 포털사이트에 접근한 것으로 의심하고 있다. 특히 중국 선양은 북한 정찰총국 해커 다수가 활동하고 있는 지역 중 한 곳인 만큼, 북한의 연루 가능성이 주목된다.
다만 중국 선양으로 주소지가 확인된 IP 역시 VPN을 통한 일종의 '위장 IP'일 가능성이 남아 있다. 이는 범인이 인터넷에 접속한 실제 지점이 중국 선양이 아닌 다른 지역이나 국가일 가능성도 배제할 수 없다는 뜻이다.
합수단 관계자는 "북한과의 연관성은 수사의 결과에 해당하는 부분"이라며 "현재로서는 확인된 바 없지만 그렇다고 부인할 수는 없는 상황이다"라고 말했다.
그러면서 "중국 내 IP 주소지에 대한 점검이나 압수수색 등도 중국 당국에 의뢰했다"며 "실제 확인 결과 중국의 IP 역시 종착지가 아닐 가능성이 있으며 이는 결국 또 다시 (다른 지역이나 국가에서) 우회했을 가능성도 있다는 뜻"이라고 말했다.
합수단은 아울러 미국 FBI로부터 원전반대그룹 일원으로 추정되는 트위터 사용자가 링크한 '페이스트빈(Pastebin)' 자료 등을 넘겨받아 분석하고 있다. 해당 페이스트빈 아이디는 국내 가입자로 확인됐지만 도용된 아이디일 가능성이 높은 것으로 전해졌다.
합수단은 이와 함께 범인이 국내 가상사설망 업체 3곳을 통해 할당받은 IP를 2년 전부터 도용한 사실도 확인했다. 2년 동안 매달 VPN 이용료를 지급하는데 사용된 국내 계좌 3개 역시 도용된 것으로 드러났다. 도용된 계좌의 명의자는 모두 다른 사람인 것으로 전해졌다. 합수단 관계자는 "계좌에 대한 압수수색도 진행했다"며 "국내에 있는 어떤 사람의 공인인증서를 탈취해서 계좌이체를 걸어 놓으면 매달 돈이 빠져나가는 식"이라고 말했다.
또 합수단은 지난 9일 한수원 직원들에게 뿌려진 단체 이메일을 통해 악성코드가 유포된 것과 관련해 원전반대그룹이 이메일을 통한 공격까지 벌였을 가능성을 열어놓고 수사를 진행할 계획이다.
이처럼 국내뿐만 아니라 해외에서까지 다수의 IP가 발견되고 아이디, IP, 계좌 등이 모두 도용된 사실까지 확인되면서 전문적인 기술을 가진 집단이 오래 전부터 범행을 계획했을 가능성에 무게가 실리게 됐다.
합수단 관계자 역시 "전체적인 상황을 고려하면 한 사람이 한 것으로는 보이지 않는다"며 "VPN을 옮겨다니는 것만 봐도 보통 실력은 아니다"고 말했다.
이에 합수단은 범인 검거와 추가 피해 예방 등을 위해 경찰청 사이버안전국과도 협조하기로 하고 수사 인력을 늘렸다. 기존 합수단은 정부 부처·기관 11곳, 민간 업체·단체 7곳 등 18개 기관·단체 파견인력 70여명 규모로 꾸려진 바 있다. 이번에 경찰청 사이버안전국 인력이 투입되면 최대 100여명이 수사에 참여하게 될 것으로 보인다. 합수단은 필요할 경우 군에 협조를 요청하는 방안도 검토 중이다.
한편 원전반대그룹은 지난 15일, 18일, 19일, 21일, 23일 모두 5차례에 걸쳐 한수원을 해킹하고 인터넷 블로그와 트위터, 페이스트빈 등을 통해 대외비 자료를 공개했다.
유출된 자료에는 한수원의 전현직 임직원의 연락처가 담긴 개인정보와 원전 운전 매뉴얼, 고리 원전(原電) 1·2호기 배관계측 도면, 원자로 냉각시스템 도면, 디지털발전기룸 환기시스템 등 고리원전 1·2호기 도면 5개, 월성원전 3·4호기 도면 10개 등이 포함됐다.
(뉴시스)