"원전 자료 유출은 전문 해커 소행"

합수단 "국내외 상당수 IP 우회" 美 수사 당국에 공조 요청도

원자력발전소 도면 등 한국수력원자력의 내부 자료 유출 사건은 고도의 전문성을 갖춘 해커에 의한 소행으로 파악됐다. 검찰과 경찰 등 수사당국은 원전 관련 자료를 온라인에 노출시킨 데 쓰인 인터넷주소(IP)들을 토대로 유출범을 특정하는 데 수사력을 모으고 있다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 자칭 ‘원전반대그룹’이 추적을 피하기 위해 포털사이트 네이버 가입자의 사용자 계정(ID)을 도용하고, 국내ㆍ외 상당수의 IP를 우회한 사실을 확인했다고 22일 밝혔다.

합수단 관계자는 “아직은 수사 초기 단계여서 개인의 단독범행인지, 여러 명이 공모한 것인지는 단정하기 어렵다”며 “다만 고도의 전문성이 있는 개인 또는 집단이 상당기간 준비를 거쳤다는 점은 분명해 보인다”고 말했다. 그 동안의 수사 경험과 지금까지 드러난 정황에 비춰볼 때 초보가 아니라 전문가에 의한, 뚜렷한 목적이 있는 계획적인 범죄일 가능성이 높다는 뜻이다.

합수단은 우선 최초 게시에 쓰인 네이버 ID와 유출범이 사용한 트위터 계정 등을 출발점으로 삼아 수사를 진행 중이다. 지난 15일 네이버에 개설된 개인 블로그에서 유출범은 자신을 ‘Who am I?’로 일컬으며 월성 1호기 감속재 계통 및 배관설치 도면 등을 공개했다. 합수단은 해당 IP의 위치가 대구라는 점을 확인하고 전날 가입자 주소지로 수사관들을 보내 가입자의 컴퓨터를 확보해 분석한 결과 ID가 도용된 사실을 확인했다.

또 전날 트위터에 한수원 조롱글과 함께 고리원전 1ㆍ2기 도면 등을 추가 공개하면서 글 말미에 ‘하와이에서 원전반대그룹 회장 미 핵’이라고 적은 것과 관련, 이 계정이 미국에서 등록된 점을 파악하고 미국 수사당국에 공조 수사도 요청했다. 합수단 관계자는 “현재까지 포착된 IP 위치는 대부분 국내이며, 이 중 일부는 일본과 미국”이라며 “아직 중국은 발견되지 않았다”고 전했다. 하지만 ‘IP 세탁’ 가능성이 높은 만큼, 정확히 어디에서 글이 등록됐는지는 좀더 수사가 필요하다는 게 합수단의 설명이다.

합수단은 특히 이번 사건이 북한과 연계돼 있는지도 살펴보고 있다. 지난 21일 트위터 글 첫머리에 북한에서 주로 쓰이는 ‘아닌 보살’(시치미를 뗀다는 뜻)이라는 문구가 등장한 것을 염두에 둔 것이다. 지난 3ㆍ20 사이버테러에 대해서도 정부는 “북한 정찰총국의 소행으로 추정된다”고 결론내린 바 있다. 하지만 범인이 일부러 혼선을 주기 위해 북한식 표현을 사용했을 수도 있기 때문에 북한의 소행이라고 아직 단정하긴 이르다.

합수단은 이번 사건이 해킹에 의해 발생했다는 데 무게를 두면서도, 한수원 내부 소행일 가능성도 배제하지 않고 있다. 예컨대 한수원 직원이나 용역업체 직원, 제3자인 퇴직자가 악성 코드를 심었을 수도 있다는 것이다. 합수단은 유출 자료를 취급했던 한수원 직원과 협력사 관계자들의 컴퓨터도 임의제출 받아 분석 중이다.

김정우기자 wookim@hk.co.kr