[뉴스토마토 조승희기자] 한국수력원자력의 원전 설계도면 등 내부자료 유출 사건을 수사중인 합동수사단은 유출범이 한수원 퇴직자 55명 계정을 포함한 211개의 이메일을 도용해 한수원 직원들에게 악성코드가 담긴 메일을 발송했다고 밝혔다.
26일 개인정보범죄 정부합동수사단(단장 이정수 첨단범죄수사2부장)은 악성코드가 담긴 이메일 공격이 9일 뿐만 아니라 10~12일에도 6차례 벌어진 사실을 확인했다.
이 이메일에는 '○○ 도면입니다'라는 제목 뿐만 아니라 '견적서', '시방서', '자료배포' 등의 제목을 붙여 한수원 직원들이 무심코 클릭할 수 있도록 미끼 제목이 달렸고 몇몇 직원들은 이메일을 열어보았다.
한수원은 "지난 9일 월성원전 직원 이메일에 악성코드가 유입된 사실을 처음 확인하고 즉시 차단 조치를 취했다"고 전날 오후 밝혔다.
다만 이 이메일에 들어있던 악성코드는 정보유출 기능은 없고 파일삭제 등 기능만 있는 '공격용'으로 확인됐다.
합수단 관계자는 "정보 유출은 악성코드가 발송된 12월9일이 아니라 그로부터 최소 몇달 전에 이뤄진 것으로 보인다"고 말했다.
합수단은 이날 이메일 공격을 한 인물과 지난 15~23일 5회에 걸쳐 블로그, 트위터 등에 한수원 자료를 유출한 인물은 동일인일 가능성이 크다고 재확인했다.
합수단 관계자는 "9~12일 보낸 악성코드에는 컴퓨터를 재부팅하면 'Who am I'라는 문구가 화면에 뜨도록 하는 기능이 들어있는 게 확인됐는데 이는 유출 게시글을 올리면서 사용한 문구와 동일하다"고 설명했다.
이어 "이 둘의 IP 접속 내역을 분석하니 동일 시간대에 같은 IP로 한수원 퇴직자 ID에 접속한 사실이 발견됐다"면서 "동일한 퇴직자 명단을 갖고 있는 1인 내지 다수의 동일범 소행이라는 방증"이라고 말했다.
유출범이 트위터에 "12월 9일을 역사에 남도록 할 것"이라는 글을 남긴 것과 IP의 12자리 숫자가 서로 비슷한 점도 근거로 꼽힌다.
합수단은 또 이메일 공격이 벌어진 9일부터 3차 유출이 있던 지난 19일까지 IP를 추적한 결과 유출범은 가상사설망(VPN)을 통해 중국 선양에서초300회상 IP 접속을 했다고 밝혔다.
합수단은 이번 사건을 '수개월전부터 치밀하게 준비한 복수 유출범의 소행'으로 좁히면서 중국에 요청한 사법공조를 기다리는 한편 국내에 있을지 모르는 공범을 추적 중이다.
일각에서는 한수원 내 외부직원이나 온라인을 통해 유출됐을 가능성도 제기하고 있다.
합수단은 도용으로 추정되는 계정의 가입시기, 로그인 내역·패턴 등을 분석해 퇴직자 명단 유출과정도 들여다 보고있다.
한수원은 전·현직 직원들이 사용하는 외부 인터넷망의 '한수원 커뮤니티'에서 이 명단이 유출됐을 가능성이 큰 것으로 보고 사이트를 폐쇄 조치했다.
이 커뮤니티는 외부에서 접속해 직원 명단과 소속 부서, 연락처 등을 확인할 수 있도록 돼 있어 퇴직직원들의 경조사 등에 주로 활용돼왔다.
합수단은 9일 벌어진 악성코드 공격을 일종의 '지능형지속위협(APT)' 방식의 해킹으로 보고 있다.
지능형지속위협(APT·Advanced Persistent Threats)이란 사용자에게 노출되지 않은 상태에서 지속적으로 대상을 공격함으로써 지속적인 정보 수집 및 기타 악의적인 행위를 하는 것을 말한다.
APT 공격은 불특정 다수 보다는 특정 대상을 상대로 원하는 행위를 하도록하거나 정치적·금전적 목적 때문에 주로 벌어지는 것으로 알려졌다.
가상사설망(VPN)은 공중망(internet)을 전용선처럼 사용할 수 있도록 하는 서비스다. 기업에서 본사와 지사를 연결하거나 재택근무, 협력업체와의 네트워크 등에 사용되는데, 관리 및 운영 비용이 비교적 저렴하고 IP주소를 쉽게 따돌릴 수 있어 IP주소 세탁에 흔히 쓰인다.
해킹 조직의 일원으로 추정되는 원전반대그룹(WHO AM I)은 지난 15일, 18일, 19일, 21일, 23일 모두 5차례에 걸쳐 인터넷 블로그와 트위터 등을 통해 원전 도면 등 한수원 내부 자료를 공개했다.
ⓒNews1
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지