【팩트TV】 작년 말 '원전 가동중단 협박'으로 당국을 충격에 빠뜨린 데 이어 최근까지도 범행이 끊이지 않았던 원전 자료 유출 사태는 여러 증거에 비춰 북한 해커조직의 소행으로 판단된다는 수사 결과가 나왔다.

 

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 한국수력원자력의 원전 설계도면 등 내부자료 유출사건에 대한 중간수사결과를 발표하고 북한의 소행인 것으로 결론지었다.

 

합수단에 따르면 해커들은 지난해 12월 9일~12일 한수원 직원 3,571명에게 총 5,986통의 악성코드가 담긴 이메일을 발송해 PC 하드디스크 등의 파괴를 시도했다. 이 EO 직원 PC 8대가 감염되고 그 중 5대의 하드디스크가 초기화되는 피해를 입혔다. 

 

합수단이 한수원 해킹에 쓰인 악성코드 및 인터넷 접속 IP 등을 분석한 결과, 이메일 공격에 사용된 악성코드가 북한 해커조직이 사용하는 것으로 알려진 이른바 'kimsuky(김수키)' 계열 악성코드와 구성·동작 방식이 거의 같은 것으로 나타났다. 
 

 

또 악성코드에 이용된 '한글 프로그램'의 버그(취약점)가 'kimsuky' 계열 악성코드에 이용된 버그와 동일했고, 'kimsuky' 계열 악성코드들의 IP 일부가 중국 선양 IP 대역들과 12자리 중 9자리까지 일치한 것으로 악됐다.

 

아울러 H사가 관리하는 다른 접속 IP 중 지난해 12월말 북한 IP 주소 25개, 북한 체신성 산하 통신회사 KPTC에 할당된 IP 주소 5개가 접속한 흔적이 발견된 것도 북한의 소행으로 추정했다.

 

합수단은 이 같은 여러 정황을 종합적으로 고려해 한수원 해킹 사건이 금전적 이득보다는 사회적 혼란을 야기하는데 목적을 둔 북한 해커조직의 소행인 것으로 판단했다. 

 

앞서 한수원을 해킹했다고 자처한 원전반대그룹(Who Am I)은 지난해 12월15일부터 올해 3월12일까지 총 6차례에 걸쳐 한수원 관련 자료를 공개하며 원전 중단을 협박했다. 대부분의 범행이 중국 선양 IP를 통해 국내 H사의 VPN 업체 IP로 접속해서 이뤄졌다.

 

해커들은 지난해 12월 15일 네이버에 '우리는 원전반대그룹! 끝나지 않은 싸움'이라는 글을 게시하며 한수원 임직원 주소록 파일 등을 1차로 공개했다. 이어 지난해 12월 18일과 19일, 21일, 23일까지 총 5차례 인터넷과 SNS 등에 '크리스마스 때까지 원전 가동을 중지하고 100억 달러를 주지 않으면 보유한 (원전)자료를 계속 공개하겠다'는 취지의 글을 추가로 올렸다.

 

이후 한동안 잠잠하다가 올해 3월12일 러시아 블라디보스토크 IP를 이용해 트위터상에 '돈이 필요하다'는 글과 함께 한수원의 원전 도면 등을 재차 게시한 바 있다.

 

한편 이같은 자료 유출은 한수원 내부망에서 직접 유출되지 않고 한수원 퇴직자 등에게 ‘피싱’ 메일을 보내 이메일 비밀번호를 수집하거나 임직원 이메일 계정과 커뮤니티내 정보수집, 협력업체 직원 이메일 등을 통해 유출된 것으로 조사됐고 주로 지난해 7~9월에 이뤄졌다.

 

합수단 관계자는 이번 범행에 대해 "국민 안전과 직결되는 국가 인프라 시설인 원전을 대상으로 전 국민을 지속적이고 공개적으로 협박해 사회불안을 야기하고 국민들의 불안심리를 자극한 사건"이라고 규정했다.

 

그러나 이번 사건을 계기로 한수원 보안시스템의 허점이 드러나고 정부가 뒤늦게 사태를 파악해 대처하는 등 미숙함을 드러내 비난을 피할 수 없을 것으로 보인다. 

 

한편 이같은 한수원의 발표는 리퍼트 주한미국대사 피습을 계기로 새누리당이 밀어붙이는 ‘사이버테러방지법’에 힘이 실릴 전망이다. 

 

여기서 논란이 되는 것은 ‘사이버테러방지법’에 따르면 국정원이 사이버 통제 전권을 갖는다. 국정원이 댓글조작을 통한 대선개입을 비롯, 수많은 정치개입 논란으로 물의를 일으킨 조직인 만큼, 이들의 권한을 강화시켜준다는 점에 우려와 비난이 나오지 않을 수가 없다.