한국수력원자력의 원전 설계도면 등 내부자료 유출사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 해킹에 도용된 것으로 추정되는 이메일 계정 211개 중 한수원 퇴직자 명의로 된 계정은 약 55개로 추산된다고 26일 밝혔다.
합수단은 지난 9일 한수원 직원 수백명의 사내 메일로 발송된 이메일을 분석한 결과, 퇴직자 명의로 확인된 계정 55개 외에 다른 이메일 계정은 제3자 명의를 도용한 것으로 추정했다. 명의도용 피해자 중에는 세종시에서 농업에 종사하는 농민도 포함된 것으로 전해졌다.
또 9일 외에도 추가로 12월10~12일에도 공격성 악성코드가 담긴 메일이 6회에 걸쳐 발송된 것으로 확인됐다.
합수단에 따르면 이메일에 한글파일 형태로 첨부된 악성코드에는 파일삭제만 가능할 뿐 자료유출 기능은 없는 것으로 확인됐다.
이메일은 마치 업무상 필요한 내용이 담긴 것처럼 '견적서', '자료배포', '송전선로 프로그램 관련 문서' 등의 제목으로 각 메일마다 15개 안팎의 첨부파일이 다음, 지메일, 네이트, 핫메일 등을 통해 발송됐다.
합수단은 또 '원전반대그룹'이 협박성 게시물을 올릴 때 사용한 IP(인터넷 주소)로 동일한 시간대에 한수원 퇴직자 ID로 접속한 사실도 확인했다.
이를 토대로 합수단은 악성메일을 보낸 지난 9일부터 유출 자료를 세 번째 공개한 19일까지 중국 선양지역 IP로 300회 이상 접속한 것으로 판단했다.
악성코드에 감염된 컴퓨터는 업무용 3대, 외부용(인터넷 PC) 1대로 이들 컴퓨터를 재부팅하면 'WHO AM I'가 출력되는 상태로 화면에 보이도록 하는 기능이 확인됐다. 다만 한수원 내부망이나 다른 업무용 컴퓨터는 악성코드에 감염되지 않은 것으로 합수단은 잠정 결론 냈다.
특히 'WHO AM I'는 원전반대그룹이 한수원 자료를 공개할 때 사용하는 문구와 동일한 것으로, 합수단은 악성코드를 심은 이메일 발송자와 지난 15일 이후 수차례에 걸쳐 네이버 블로그 등에 원전 설계도면 등 한수원 내부자료를 유출한 인물이 서로 동일범인 것으로 판단하고 있다.
합수단은 이와 함께 퇴직자 명의로 11월29일 이전에 여러차례 로그인한 기록을 감안해 공격성 악성코드를 한수원 내에 침투시키거나 해킹을 한 것은 11월말 전부터 상당히 오랜 기간에 걸쳐 치밀하게 준비해온 것으로 보고 있다.
합수단 관계자는 "결론적으로 정보 유출은 9일 이전에 행해진 것으로 보인다"며 "9일 (발송한)이메일을 통해 자료를 빼내려는 시도보다는 파일을 좀 망가뜨리고 컴퓨터를 고장시키려는 의도로 보인다"고 말했다.
또 "도용된 걸로 추정되는 퇴직 직원들 명의로 로그인 된것도 9일 이전 몇달전부터 로그인된 흔적이 있었다"며 "그걸로 봐서는 급하게 1~2주 정도 차원이 아니라 최소한 몇 달 전부터 준비한 걸로 보인다"고 덧붙였다.
한편 보안업계 일각에서는 지난 10월에도 이번 이메일 공격에서 사용된 악성코드와 유사한 악성코드가 국내에 유포됐다는 주장이 제기됐다.
당시 국내에 이메일을 통해 유포됐던 '두만강 포럼' 이라는 한글문서에서 악성코드가 발견됐는데 해당 악성코드의 확장자가 지난 9일 한수원 직원들에게 뿌려진 이메일 공격에 사용된 악성코드의 확장자와 상당 부분 유사하다는 것이다. 두만강 포럼에 심어진 악성코드는 정보 유출 기능까지 포함한 것으로 전해졌다.
두만강 포럼은 중국 연변대학이 개최하는 국제학술행사다. 지난 10월에도 연변에서 남한과 북한 및 중국의 학자들이 모인 바 있다.
이와 관련해 합수단 관계자는 "한수원 이메일 공격과 관련한 파일 중 두만강 포럼은 없는 것으로 확인됐다"며 "악성코드의 종류가 워낙 많고 확장자 등이 유사한 경우도 많기 때문에 악성코드의 유사성만으로는 동일한 범행으로 단정할 수 없다"고 말했다.
다만 "한수원에 대한 이메일 공격 이전에 여러 가지 방법으로 테스트를 하는 측면에서 유사한 코드의 악성코드가 배포됐을 가능성은 있다"며 "보안 전문가들의 의견인 만큼 수사 과정에서 확인할 필요는 있다"고 덧붙였다.
