"한수원 퇴직자 등 이메일로 악성코드 300여종 유포(종합)

합수단, 퇴직자 이메일 도용 판단…당사자 불러 경위 조사
지난 9일 이메일 발송자와 5차례 글 올린 인물은 동일인 추정

(서울=뉴스1) 전성무 기자 | 2014-12-25 18:01 송고 | 2014-12-25 18:12 최종수정

<span>한수원(주) 고리원전 등 국내 원전 주요 도면 등을 인터넷상에 올린 해커가 국내 주요 원전에 대한 사이버 공격을 예고한 25일 공격 목표가 된 월성원자력본부 정문 앞에는 보안요원들이 삼엄한 경계를 펴고 있다. 2014.12.24/뉴스1 © News1 최창호 기자 </span>© News1

한수원(주) 고리원전 등 국내 원전 주요 도면 등을 인터넷상에 올린 해커가 국내 주요 원전에 대한 사이버 공격을 예고한 25일 공격 목표가 된 월성원자력본부 정문 앞에는 보안요원들이 삼엄한 경계를 펴고 있다. 2014.12.24/뉴스1 © News1 최창호 기자 © News1

한국수력원자력의 원자력발전소 내부 자료 유출 사건을 수사 중인 개인정보범죄정부합동수사단(단장 이정수 부장검사)은 25일 한수원 퇴직자 수십명의 이메일 계정으로 수백종류의 악성코드가 유포된 사실을 확인하고 경위를 수사 중이다.

합수단은 해커로 추정되는 원전자료 유출범이 한수원 퇴직자들의 회사 이메일이 아닌 다음 등 국내 포털사이트 이메일 계정을 도용해 현직 한수원 직원들에게 한번에 9개 단위로 이메일을 분산 발송한 것으로 확인했다.

한꺼번에 이메일을 대량 발송했을 시 악성코드가 포함된 이메일이라는 사실이 드러날 수 있어 분산 발송한 것으로 합수단은 보고 있다.

한수원 직원들에게 발송된 이메일 제목은 '00도면입니다' 등 대부분 원전 업무와 연관성이 있는 것들이라 별다른 의심 없이 이메일을 열어본 것으로 보인다.

현직 한수원 직원들에게 이메일이 발송되는 과정에 비단 퇴직자 이메일만 이용된 것은 아니었다.

유출범은 한수원과 연고가 없는 '제3자'의 이메일을 이용해 한수원 직원들에게 악성코드가 담긴 이메일을 보내기도 했다.

이렇게 발송된 이메일에는 공통적으로 악성코드가 심어진 '한글' 첨부파일이 포함돼 있었고 이 같은 악성코드 종류는 지금까지 확인된 것만 총 300여개로 밝혀졌다.

합수단은 유출범이 어떤 식으로 한수원 퇴직자와 일반인들의 이메일 계정 등 개인정보를 입수할 수 있었는지 확인 중이다.

한수원 퇴직자들과 일반인들을 상대로 참고인조사를 벌여 이들의 명의로 한수원 직원들에게 이메일이 발송된 경위 전반을 추적할 방침이다.

예를 들어 각각 이메일이 발송된 인터넷프로토콜(IP) 주소를 추적해보니 국내에 머물고 있었는데 중국 선양 등 해외에서 이메일을 발송한 것으로 조회되면 해당 이메일은 도용된 것으로 본다.

합수단은 또 지난 9일 이메일을 발송한 사람과 지난 15일부터 23일까지 총 5차례에 걸쳐 네이버 블로그, 네이트 게시판, 트위터 등에서 글을 올려 원전자료를 유출한 인물이 동일인이나 동일집단일 개연성이 높다고 결론 냈다.

이들이 이용한 국내 가상사설망(VPN) 업체 3곳에서 IP를 역추적한 결과 12자리 주소 가운데 11자리가 동일했고 끝자리만 다른 유사성을 보였기 때문이다. IP주소에는 국가별로 지역별 고정 고유번호가 할당돼 있어 접속자의 위치를 파악할 수 있다.

합수단은 VPN에서 부여된 IP를 역추적해보니 중국 선양 일대에서 서비스되는 현지 통신업체(ISP‧Internet Service Provider)에 가입된 IP에서 총 200여 차례에 걸쳐 국내로 접속한 사실을 확인했다.

합수단은 유출범이 사용한 것으로 보이는 중국 현지에서 접속된 IP 20~30개를 특정해 중국 공안에 제출하고 국제공조수사를 요청한 상태다.

합수단 관계자는 "중국 공안과 사법공조 여부는 통상대로 정식공문을 보낼 경우 수주에서 한 달 정도 걸린다"며 "이번 사건이 워낙 긴급한 사안이기 때문에 법무부에서 통상 절차보다 빠르게 중국 측과 협조를 진행하고 있고 회신을 기다리고 있다"고 말했다.

이어 "국내 포털 외에도 트위터에도 자료가 공개돼 FBI로부터 해당 트위터 계정 자료 등을 받아서 분석 중"이라며 "유출범의 실제 위치가 미국으로 보이지는 않는다"고 덧붙였다.

합수단은 중국 측이 사법공조에 응할 경우 국내 VPN으로 접속한 것으로 조회된 현지 IP 실제 주소지를 직접 찾아가 현장 확인을 벌일 방침이다.

그러나 중국에서 접속된 IP 역시 경유지로 활용됐을 가능성이 있어 실제 유출범을 검거하는 데는 상당한 시일이 걸릴 전망이다. 고도의 해킹 전문가라면 경유지 IP를 거의 무한대로 설정할 수 있는 기술이 있어 추적이 사실상 불가능한 것으로 알려졌다.

유출된 원전도면 등 자료가 1~2년 정도 지난 점으로 미뤄 단독범이 아닌 조직 단위로 치밀하게 범행을 계획했을 개연성도 높아졌다.

일각에서는 중국 선양이 북한 정찰총국 해커들이 주로 활동하는 것으로 알려진 지린성(吉林省)·랴오닝성(遼寧省)·헤이룽장성(黑龍江省) 등 동북 3성 내에 있어 원전자료 유출 사건이 북한의 소행일 수 있다는 분석이 나온다.

합수단은 북한과의 연관성을 배제하지 않으면서도 내부자, 외부용역업체, 외부해킹 등 모든 가능성을 열어두고 수사하고 있다.

자신을 '원전반대그룹' 이라고 소개한 유출범은 원전 내부 자료를 지난 15일부터 총 5차례에 걸쳐 네이버, 네이트 등 국내 포털사이트와 미국 트위터에 공개하고 25일까지 원전 가동을 중단하지 않으면 2차 공격을 단행하겠다고 예고했었다.

lennon@