박상형 한수원 사이버보안팀장은 22일 정부세종청사에서 기자들과 가진 간담회에서 “지난 9일 외부 메일에 첨부된 악성코드가 외부망(인터넷망)에서 내부망(업무망)으로 침투했으나, 이번에 유출된 자료와는 관계가 없는 것으로 보고 있다”고 말했다.
이어 그는 “한수원 보안을 맡고 있는 안랩 측에서 악성코드 검사 결과, 컴퓨터를 파괴하는 기능만 있고 자료를 빼낼 수는 없다는 답변을 받았다”며 “자료유출과의 상관관계는 추후 조사를 통해 알아봐야겠지만 현재는 악성코드를 통한 자료유출은 아니라고 판단하고 있다”고 설명했다.
한수원은 특히 이번에 유출된 내부자료들이 2013년 4월 이전에 유출됐을 가능성이 높은 것으로 파악하고 있다. 다만 내부유출인지, 해킹에 의한 것인지는 아직 확인하지 못했다. 외부로 유출된 파일이 컴퓨터 파일 형태만 있는 것이 아니고 스캔을 하거나 사진을 찍은 것도 있기 때문이다.
이종호 한수원 엔지니어링 본부장은 “지난해 4월 외부망과 내부망을 분리했다”며 “일부 승인권한을 가진 사람이 첨부파일을 확인하지 않고 악성코드가 외부망서 내부망으로 들어가는 문제가 있을 수는 있다”고 말했다.
한수원은 이 같은 경로로 감염됐을 가능성이 있는 컴퓨터에 대한 감염 여부 등을 분석하고 있다. 한수원은 악성코드가 처음 발견된 다음날인 10일 고리 및 월성 원전에서 컴퓨터 4대에 대한 고장 신고가 있었다고 전했다.
한수원은 이외에도 이번 자료유출이 지난 9월 적발된 용역업체 직원 등에게 아이디와 비밀번호를 공유한 것과도 무관하다고 밝혔다.
앞서 이관섭 산업통상자원부 1차관도 원전 안전성에 영향을 줄 수 있는 기밀자료는 유출이 원천적으로 불가능하다고 강조했다. 또 유출된 한수원의 내부자료는 ‘일반기술’ 정보들로 기밀자료가 아니라고 설명했다.
이 차관은 “현재까지 유출된 자료들은 기밀자료가 아닌 일반자료지만, 외부로 나가면 안 되는 한수원의 기술재산”이라며 “그렇더라도 이를 통해 원전을 공격하거나 운전에 영향을 끼칠 수 있는 것은 아니다”라고 말했다.
그러면서 “KT 해킹 사건 등 과거 경험으로 봤을 때 IP 추적시 해외와도 연결돼 있는 등 여러가지 가능성 또는 경우의 수가 많아 범인을 잡는데는 시간이 오래 걸릴 것”이라고 내다봤다.
이와 관련 정부합동수사단은 이날 해커의 트위터 계정이 미국에서 등록돼 있는 것을 파악하고, 계정 폐쇄 등을 위해 미국 수사당국에 공조 수사를 요청했다.
이 차관은 “정부는 이번 사태에 대해 엄중하게 보고 국가 최고 시설인 원전에 대한 사이버공격에 대해 수사기관 차원의 엄정한 수사를 진행중”이라며 “정보 유출자의 궁극적인 목적이 사회불안 심리를 확산시키려는 의도로 판단하고 있는 만큼, 신중하게 접근할 방침”이라고 강조했다.
한편, 산업부와 한수원, 원안위, 원자력안전기술원, 원자력통제기술원, 한국인터넷진흥원 등은 혹시라도 발생할지 모르는 사이버공격에 대비해 이날부터 이틀 간 모의훈련에 들어갔다.