합수단 '한수원 해킹, 지난 9일 이후 추가발생 흔적 발견'

아주경제 장윤정 기자 = 한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 악성코드를 심은 이메일 공격이 지난 9일 이후 추가로 발생한 사실을 확인했다고 26일 밝혔다.

합수단은 지난 9일 악성코드를 심은 다량의 이메일이 한수원 퇴직자 명의의 계정에서 한수원 직원들에게 발송된 사실을 파악한 바 있다.

합수단은 추가 수사를 통해 지난 9일뿐만 아니라 지난 10∼12일 악성코드를 담은 이메일 6개가 한수원 직원에 발송된 사실을 새로 발견했다고 밝혔다.

발송된 이메일들은 파일 삭제 기능이 있는 공격용 악성코드가 심어져 있는 것으로 조사됐다. 다만 이 악성코드에는 컴퓨터 내부정보를 빼내는 기능은 갖고 있지 않은 것으로 확인됐다.

관련기사

• 청와대 "사이버공격 의한 원전중단·위험초래 가능성없어
• 원전 가동 중단되면? 예비전력 제로 '최악 정전사태 발생 가능'

합수단 관계자는 "이메일의 경우 자료를 빼내려는 게 아니라 파일을 망가뜨리려는 의도로 보인다"면서 "정보 유출은 12월9일 이전에 행해진 것으로 추정된다"고 말했다.

지난 9일부터 12일까지 한수원에 발송된 악성 이메일은 모두 211개로, 한수원 퇴직자 명의를 도용한 이메일 계정 55개가 사용된 것으로 파악됐다.

이메일에는 '○○ 도면입니다'라는 제목 외에도 '견적서', '시방서', '송전선로 프로그램 관련' 등의 제목을 달았다. 한수원 직원이라면 무심코 이메일을 열어볼 수 있도록 '미끼 제목'을 붙여놓은 것이다.

이메일 공격을 한 인물과 지난 15일부터 최근까지 5차례에 걸쳐 인터넷 블로그와 트위터 등에 원전도면 등 한수원 주요 자료를 유출·공개한 인물은 동일 인물일 가능성이 크다고 합수단은 설명했다.

또한 이메일 공격을 했던 지난 9일부터 유출 자료를 담은 3번째 글이 게시된 지난 19일까지 범인 추정 인물은 중국 선양에서 300회 이상 IP 접속을 한 것으로 파악됐다.

합수단은 수개월 전부터 여러 명이 조직적으로 이메일 공격과 자료 해킹을 준비해 범행한 것으로 보고 있다.

합수단 관계자는 "한수원 자료에 로그인된 기록을 보면 이메일 공격이 이뤄진 지난 9일 이전에도 상당한 흔적이 있다"며 "최소한 수개월 전부터 준비한 것으로 보인다"고 설명했다.

이 관계자는 "전문적인 지식을 갖춘 자의 집단에서 지속적으로 저지른 범행 같다"면서 "한 사람이 저질렀다고 보기에는 양이 많다"고 덧붙였다.