[뉴스토마토 조승희기자] 한국수력원자력의 원전 설계도면 등 내부 자료가 유출된 가운데 정부합동수사단이 22일 IP 추적 등을 통해 범인을 잡는데 수사력을 모으고 있다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 유출범이 국내 가상사설망(VPN)을 사용해 IP 주소를 수차례 우회하는 방식으로 숨긴 정황을 잡고 국내외 IP 추적망을 가동해 그의 신원과 위치를 추적 중이다.
합수단은 글을 게시하는데 사용한 네이버 ID의 명의자가 대구에 거주하는 것으로 확인했으나 "자신의 ID가 도용당했다"는 명의자 주장에 신빙성이 있다고 판단했다.
합수단은 유출범의 IP 주소가 대부분 국내에서 발견됐지만 일부는 미국과 일본 등 해외에 있는 것으로 파악했다.
유출범이 트위터에 '하와이에서 원전반대그룹 회장, 미 핵'이라고 올린대로 그가 실제로 하와이에 거주하는지는 검찰이 아직 확인하지 못한 것으로 전해졌다.
검찰 관계자는 "글을 올리는 패턴이나 국내외의 IP 여러개를 사용하는 등 여러 정황을 보아 고도의 전문성을 갖춘 사람이 상당기간 준비한 것으로 보인다"면서 "내부의 유출, 외부의 해킹, 북한과의 연관성 등 유출 경로는 아직 확인되지 않았고 모두 염두에 두고 조사중"이라고 밝혔다.
합수단은 국내 VPN 업체에 대한 통신영장을 통해 해당업체의 통신 내역을 조사중이다. 이들 업체에서 할당된 IP에 대한 추적도 곧 이뤄질 것으로 보인다.
VPN 서비스를 활용한 IP주소 세탁은 흔한 해킹수법 중 하나다. VPN은 이용가격이 비교적 저렴한 비용으로 수사기관이 확인하려는 IP를 쉽게 따돌릴 수 있는 것으로 알려졌다.
합수단은 또 유출범의 신원 파악을 위해 법무부를 통해 미국 FBI에 공조수사를 요청한 상태다. 해당 글을 올린 트위터 계정의 IP주소는 파악되지 않은 상태로, 계정 등록 당시 입력된 주소지는 프랑스로 확인됐다.
유출자가 자료를 올린 패스트빈(pastebin), 드롭박스(dropbox) 등에 대한 추가 공조요청도 이어질 것으로 보인다.
합수단은 21~22일 고리와 월성 원전에 수사관을 보내 유출된 자료를 취급한 한수원 직원들과 협력사 관계자 등을 상대로 자료 작성 시기와 관리 상황, 외부 전송 가능성 등을 조사했다. 또 이들이 사용한 컴퓨터를 임의제출 형식으로 넘겨받아 분석 중이다.
다만 합수단 관계자는 "IP를 수차례 경유하는 수법 등을 사용해 갈수록 추적이 어려워지고 있다"면서 "단기간에 범인을 검거하기 쉽지 않을 수도 있다"고 설명했다.
합수단은 직원들의 컴퓨터 일부가 악성 프로그램에 감염돼 이른바 '좀비 PC'로 활용된 흔적을 포착한 것으로 전해졌다. 좀비 PC를 이용한 해킹은 지난해 방송사와 금융기관 등의 전산망을 마비시킨 '3·20 사이버테러' 당시 북한 정찰총국이 사용한 수법이다.
또 이 트위터 사용자가 공격을 알리면서 '청와대, 아직도 아닌 보살'이라는 표현을 사용한 것도 이번 범행을 북한의 소행으로 추정하는 근거 중 하나다. '아닌 보살'은 북한에서 '시치미를 떼다'는 뜻으로 쓰이는 것으로 전해진다. 그러나 역으로 북한과 무관한 유출자가 북한인 것처럼 보이기 위해 해당 문구를 넣었을 가능성도 남아있다.
한수원 내부 자료 유출은 지난 15일부터 이어져 21일까지 4번째 발생했다.
유출범은 지난 15일 네이버 블로그에서 'Who am I?'라는 문구로 자신을 소개한 뒤 월성 1호기 감속재 계통 및 배관설치 도면 등을 공개했다.
이후 지난 21일 새벽 1시30분쯤 트위터에 한수원을 조롱하는 글과 함께 4개의 파일을 추가 공개했다. 이번에 공개된 것은 고리 1·2호기 공기조화계통 도면을 비롯한 원전 관련 기술 자료다.
그는 특히 "아직 공개 안한 자료 10여 만장도 전부 세상에 공개해 줄게"라며 이번 크리스마스 때 원전 가동을 멈추지 않으면 추가 범행을 하겠다고 위협했다.
이에 대해 산업통상자원부는 보도자료를 내고 "원전 제어망은 사이버 공격이 원천적으로 불가능하다"며 "지금까지 공개된 자료는 핵심기술이 아닌 일반적 기술자료로 원전 안전에 미치는 영향은 없는 것으로 확인됐다"고 밝혔다.
ⓒNews1