[뉴스토마토 조승희기자] 한국수력원자력의 원전 설계도면 등 내부 자료 유출이 계속되는 가운데 정부합동수사단은 유출범이 가상사설망(VPN)을 통해 사용한 다수의 IP 주소지가 중국 선양(瀋陽)인 것으로 확인하고 추적 작업에 속도를 내고 있다.
24일 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 H사 등 VPN 업체 3곳을 압수수색해 자료를 확보, 분석한 결과 이같은 사실을 확인했다고 밝혔다.
합수단에 따르면 유출범 추정 인물은 지난 15일 하루동안 VPN 업체에서 할당받은 아이디 20~30개를 사용해 200여차례 중국 선양에서 접속한 것으로 확인됐다.
합수단은 국내외 VPN을 통해 수많은 IP를 돌려 사용하는 등 그동안 조사된 수법을 종합할 때 이번 유출이 전문 해커집단의 소행일 가능성에 무게를 두고 있다.
북한 정찰총국의 해커가 많이 활동하는 곳으로 알려진 선양이 IP 사용 장소로 확인되면서 북한과의 연계 의혹이 커지자 합수단은 "수사 초기라 확인된 것이 없다. 북한과의 관련성을 단정할 수도 부인할 수도 없다"고 밝혔다.
또 합수단 관계자는 "중국 IP가 유출범이 실제 사용한 것인지, 그가 중국에 거주하는지 등은 여전히 불투명한 상황이다. 선양 IP 역시 중국 내 다른 지역이나 다른 국가로 도용됐을 가능성도 여전하다"며 조심스러운 입장을 보이고 있다.
H사 등 VPN 3곳을 통해 해당 IP를 사용한 가입자 역시 도용 당한 것으로 합수단은 보고 있다. H사 등 3곳은 유출 자료가 담긴 글이 게시됐을 당시 사용된 IP를 할당해 준 업체다.
서울에 거주중인 이 VPN 가입자는 2년여 전부터 자신이 이 서비스에 가입된 사실 조차 몰랐다고 진술한 것으로 전해졌다.
합수단은 추가 유출 피해를 막기 위해 우선 '범인 검거'에 수사력을 모으고 있다. 또 월성·고리 원자력에서 임의제출 받은 컴퓨터 분석작업을 통해 유출경로 확인작업을 병행하고 있다.
이 컴퓨터들은 지난 12월9일 한수원 이메일을 통해 악성코드에 감염돼 자료 유출의 통로가 됐을 가능성이 높은 것으로 알려졌다.
합수단은 IP에 접속한 유출범을 쫒기 위해 중국당국과 형사사법공조 절차를 진행중이다.
또 유출범의 트위터 접속 정보를 확인하기 위해 미국 연방수사국(FBI)을 통해 요청한 패스트빈(pastebin) 등의 자료를 넘겨받아 분석하고 있다.
유출범은 자료를 올린 패스트빈 등의 링크를 주로 트위터를 통해 공개해왔다. 이 패스트빈에 가입한 ID는 다음(Daum) 계정으로 ID뿐만 아니라 계좌 도용 가능성도 높은 것으로 파악됐다.
합수단은 범인 검거와 유출 분석에 속도를 내기 위해 국내 경찰청 사이버안전국과도 협조하기로 했다.
가상사설망(VPN)은 공중망(internet)을 전용선처럼 사용할 수 있도록 하는 서비스로 기업에서 본사와 지사를 연결하거나 재택근무, 협력업체와의 네트워크 등에 주로 쓰인다.
네트워크 관리 및 운영 비용이 비교적 저렴하고 IP주소를 쉽게 따돌릴 수 있어 VPN을 통한 IP주소 세탁은 흔한 해킹수법 중 하나로 꼽힌다.
해킹 조직의 일원으로 추정되는 원전반대그룹(WHO AM I)은 지난 15일, 18일, 19일, 21일, 23일 모두 5차례에 걸쳐 인터넷 블로그와 트위터 등을 통해 한수원 내부 자료를 공개했다.