검찰, 한수원 자료유출·협박 배후로 북한 지목

[이데일리 전재욱 기자] 지난해부터 최근까지 한국수력원자력(한수원)에서 유출된 자료를 바탕으로 원전가동 중단과 거액의 돈을 요구한 세력은 북한 해커조직이라는 검찰 수사결과가 나왔다.

개인정보비리 정부합동수사단(단장 이정수 부장검사)은 17일 한수원 사이버테러 사건 중간수사 결과를 발표하고, 배후세력으로 북한 해커조직을 지목했다.

합수단에 따르면, 지난해 9~12월 한수원 직원 3571명에게 악성코드가 첨부된 이메일 5986통이 발송됐다.

이후 이 메일을 보낸 세력은 포털사이트 등 SNS를 통해 ‘원전가동을 중지하고 100억달러를 주지 않으면 원전 자료를 공개할 것’이라는 글을 올리고 한수원 내부자료를 공개했다.

이러한 방식으로 총 6차례에 걸쳐 94개 파일에 담긴 한수원 임직원 주소록과 전화번호부, 원전관련 도면 등이 일반에 공개됐다.

해당 정보는 한수원 내부 전산망에서 직접 빼낸 것이 아니라, 한수원 협력사 임직원의 이메일에 악성코드를 심어 자료를 빼낸 것으로 밝혀졌다.

유출된 자료는 교육용 등 일반문서 등에 불과해 원전관리와 관련한 중요정보의 유출은 없다고 합수단은 설명했다.

한수원의 의뢰로 수사에 착수한 합수단은 이 사건에 사용된 여러 증거에 비춰 범인을 중국과 러시아를 거점으로 활동하는 북한 해커조직으로 결론 내렸다.

합수단은 한수원 직원들에게 보낸 메일에 담긴 악성코드는 북한 해커조직이 쓰는 ‘kimsuky’와 유사한 것으로 파악했다.

이와 함께 인터넷 가상사설망(VPN) 서비스 업체 H사를 통해 접속한 IP를 분석한 결과 접속 지역이 북한인 IP 25개와 북한 체신성 산하 통신회사인 KPTC에 할당된 IP 주소 5개를 확인했다.

합수단은 범인들이 H사의 VPN 서비스에 접근하기에 앞서 접속한 IP가 중국 선양에 있는 것도 북한 소행의 근거로 삼았다. 이 지역은 북한 압록강 주변에서 접속할 수 있고, 인접 지역에서도 무선 인터넷 중계기를 사용해 접속이 가능하다고 합수단은 설명했다.

아울러 지난 12일 트위터에 게시된 마지막 글은 종전의 5차례 게시글과 동일한 계정이 쓰였고, 접속에 사용된 IP는 러시아 블라디보스토크에 있는 것으로 조사됐다.

합수단 관계자는 “이 사건은 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 사회불안을 일으키고 국민들의 불안심리를 자극한 것”이라며 “본건 범행은 북한 해커조직의 소행으로 판단되며, 철저히 수사를 계속할 것”이라고 말했다.