[뉴스토마토 류석기자] 원전 해킹에 대한 원인 조사가 장기화 될 조짐을 보이고 있는 가운데, 이번 해킹의 주범을 정확히 찾아내기는 어려울 것으로 보인다. 보안전문가들은 아직 해킹의 원인조차 파악하지 못한 상황에서 범인을 찾는 것은 불가능 하다고 입을 모은다. 원인을 찾아내더라도 시기적으로 범인이라고 확신할 수 있는 증거는 이미 사라졌을 것이라는 주장이다.

 

정부합동수사단(합수단)에서도 정확한 범인 색출에는 어려움이 따를 것이라는 것에 대해 인정하는 태도를 보였다. 

 

26일 보안전문가들에 따르면 이번 원전 해킹 사건의 범인을 찾아내기는 어려울 것이란 전망이다. 공격의 흔적이 이미 사라진 상황에서 범인 찾기는 더 어렵다는 것.

 

실제로 공격이 있을 때 마다 해커의 공격을 역추적 해 중국 해커부대의 실체를 공개한 미국 보안업체 맨디언트(Mandiant)의 사례가 있지만, 이미 공격 시점을 파악하지 못한 상황에서 공격의 범인 파악은 어렵게 됐다는 것이 중론이다.

 

이미 청와대 국가안보실에서는 이번 해킹 공격의 시기에 대해서 해킹 집단이 과거에 획득한 자료를 5차례에 걸쳐 조금씩 공개하면서 사회불안을 조장하려 했던 것으로 결론을 내렸다.

 

현재 지난 9일 발생한 하드디스크 파괴 공격의 원인이 되는 악성코드는 찾았지만, 문서유출에 대한 원인은 아직 찾지 못한 상황이다. 합수단의 수사 결과 이번 원전 해킹사건의 배후가 북한일 것이라는 정황 증거들이 나오고 있지만, 지금까지 나온 것만으로는 범인을 북한이라고 단정지을 수 없다는 것이 보안전문가들의 주장이다.

 

문일준 빛스캔 대표는 "사이버 공격은 실제 범죄행위를 하는 그 순간 잡지 않는 이상 누가 공격했는지 찾기 어렵다"라면서 "배후가 북한이라고 주장하려면 적어도 이번에 사용된 악성코드와 공격 명령을 내리는 C&C서버가 북한과 관련됐다는 증거를 밝혀내야 할 것"이라고 설명했다.

 

이어 그는 "우리가 보기에는 이번 문서유출은 이미 길게는 6개월 전에 유출시킨 것이라고 추측된다"라면서 "이 가정이 사실이라면 지금 시점에 공격의 흔적인 로그를 찾는다는 것은 거의 불가능해 보인다"라고 덧붙였다.

 

또 정부합동수사단에서 밝힌 해커의 접속지역이 중국 선양이라는 것에 대해서도 보안업계에서는 얼마든지 IP우회를 통해 속일 수 있다고 설명한다. 접속지역 IP주소가 범인을 찾는데 큰 도움이 되지 않는다는 것이다.

 

최상용 KAIST 차세대보안연구실장은 "우리가 집에서 특정 통신사를 통해 인터넷을 쓰고 있는데, 외국에서 IP주소를 통해 접속지역을 검색해보면, 인터넷을 서비스하는 통신사의 본사 주소로 나온다"라면서 "이러한 이유로 IP주소를 통해 범인을 찾는 것은 힘들다"라고 설명했다.

 

이어 그는 "해킹 공격에 대한 역추적 기술이 적용되면 찾을 수 있다라는 것은 이론적으로 가능하지만, 실제 상용되는 역추적 기술은 없기 때문에 범인을 정확히 찾기는 힘들 것"이라고 말했다.

 

최상명 하우리 보안연구센터장은 "지금까지 여러 가지 나오는 양상들이 북한 가능성이 높아지고 있는 것은 사실이지만 정확한 범인을 잡기는 힘들 것 같다"라며 "이번 원전 공격에 사용된 악성코드는 기존 북한에서 사용되던 악성코드와는 다른 것"이라고 말했다.

 

합수단에서도 이번 공격의 범인을 찾을 수 있다는 것에 대해 높은 가능성을 두고 있지는 않은 것으로 보인다. 사이버 공격의 경우 초기에 범인을 밝혀내지 못하면 시간이 지날 수록 어려워질수 밖에 없다는 주장에 대해 인정하는 모습을 보였다.

 

이정수 합수단장은 "이제 수사 시작한지 1주일 됐고, 이제부터 계속 수사를 해나가야 한다"라면서 "다만, 일반적으로 사이버공격의 특성상 공격 초기에 범인을 밝혀내지 못하면, 그런 부분이 있다"라며 아쉬움을 드러냈다.