한수원 해킹 진원지로 드러난 중국 IP … '북한이냐 중국이냐'

아주경제 장윤정 기자= 개인정보범죄 정부합동수사단이 지난 24일 한국수력원자력 해킹과 관련, “범인으로 추정되는 인물의 인터넷프로토콜(IP)이 중국 특정 지역에서 집중적으로 접속한 사실이 확인됐다”고 밝히면서 중국이 이번 사건의 진원지로 떠올랐다. 그러나 이번 자료 유출에 북한이 개입했을 가능성도 배제할 수 없는 상황이다. 

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 이번 원전 자료 유출에 사용한 국내 인터넷가상사설망(VPN) 서비스 업체 3곳에 대해 압수수색 영장을 통해 자료를 분석한 결과, 이들 업체로부터 할당 받은 IP 20여개가 중국 선양에서 200여 차례 집중적으로 접속된 사실을 확인했다고 24일 밝혔다.

중국 동북 3성 내에 위치한 선양은 수년 전부터 북한이 정찰총국 사이버 요원을 대거 파견해 대남 사이버 공격 업무를 하고 있는 곳으로 알려져 있다. 원전 문건을 빼낸 유출자는 블로그 등에 원전 도면을 게시할 때 이들 VPN 업체들을 통해 IP를 할당받았다.

합수단 관계자는 "파악된 IP의 대부분이 선양에 집중돼 있다는 것을 확인했지만 다만 수사 초기 단계여서 북한과의 관계는 단정할 수도 부인할 수도 없다"고 밝혔다.

관련기사

• 국회 산업위, 30일 원전 자료 유출 사건 관련 긴급 현안보고
• 한수원 해킹 IP '중국으로 드러나' ... 검찰, 중국과 수사공조 개시

중국에서 활동하는 북한 해커일 가능성을 예상할 수 있지만 북한과 연계된 듯 단서를 남겨 추적에 혼선을 일으키기 위해 고의로 선양을 IP 경유지로 활용했을 가능성도 있다는 설명이다. 검찰은 해당 IP를 추적하기 위해 대검찰청과 법무부를 통해 중국 당국과의 사법공조 절차에 들어간 상태다. 

이에 대해 국내 보안 업계에서는 배후에 북한이 있을 수도 있지만 일단 중국이 인터넷 해킹을 위한 최적의 요건을 갖춘 곳이라고 설명했다. 

한 국내 보안업체 전문가는 “중국에서는 전문 해커들을 돈만 주면 얼마든지 고용할 수 있다"며 "누구든 비교적 저렴한 비용으로 전문해커부터 해킹 장비, 툴, 인프라까지 쉽게 구할 수 있다"고 언급했다. 

북한의 지원을 받은 중국 내 해킹 전문 집단이 이번 한수원 해킹을 저지른 주범일 가능성도 이 같은 배경에서 가능하다는 설명이다. 

한편 합수단 관계자는 "모든 가능성을 열어두고 유출범을 추적하고 있다"고 강조했다.

​합수단은 추가 피해 예방과 범인 검거를 위해 경찰청 사이버안전국과 협조하기로 했다.