[뉴스토마토 한광범기자] 지난해 12월부터 원자력발전소 운영 중단과 거액의 돈을 요구하며 원전 자료를 공개했던 '원전반대그룹'이 북한 해커 조직으로 밝혀졌다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 이 같은 내용이 담긴 원전 자료 유출 사태 중간 수사 결과를 발표했다.
◇최윤수 서울중앙지검 3차장검사가 17일 오후 서울 서초동 서울고등검찰청 기자실에서 개인정보범죄 합수단의 '원전자료 유출' 중간 수사 결과를 발표하고 있다. ⓒNews1
합수단이 북한 해커 소행이라고 판단한 근거는 이번 범행에 사용된 악성코드가 북한 해커조직이 사용하는 것과 유사하다는 점 등이다.
지난 2013년 러시아의 세계적인 보안회사인 '카스퍼스키'가 북한에서 만들어진 것으로 추정한 악성코드에 대해' kimsuky'(김수키)로 명명한 바 있다.
합수단은 이번에 사용된 악성코드가 동작방식과 '사용된 프로그램의 버그' 측면 등에서 매우 유사하다고 발표했다.
특히 이번 범행에 사용된 중국 선양 IP 대역이 '김수키' 계열 악성코드와 12자리 숫자 중 9자리가 일치했다고 밝혔다.
합수단 관계자는 "행정구역으로 보면 거의 동까지 일치하는 수준"이라고 설명했다. 그는 "선양 IP 대역은 북한 압록강 주변에서도 접속할 가능성이 있고, 인접 지역에서 무선 인터넷 중계기를 사용해 접속할 가능성도 있다"고 강조했다.
합수단은 또 이번 범행에 사용된 국내 VPN(가상 사설망) 업체에 접속한 IP 내역을 확인해본 결과, 북한 IP 주소 25개와 북한 체신성 산하 통신회사에 할당된 IP 주소 5개에서 접속한 사실을 확인했다고 전했다.
합수단은 "사회불안을 야기하고 국민들의 불안심리를 자극한 사건"이라며 "사회적 혼란 야기가 주목적이었다"고 판단했다.
합수단은 명확한 IP 분석을 위해 중국 공안과 미국 FBI에 협조 요청을 했지만, 아직 답변을 받지는 못했다.
범인들은 원전 관련 자료를 빼내기 위해, 한수원 관계자들에게 퇴직자 명의로 피싱 메일을 보내는 방식으로 PC를 오염시켜 자료를 빼냈다.
합수단은 범인들이 총 5986통의 악성코드 이메일을 한수원 직원들에게 보냈다고 밝혔다. 이로 인해 PC 8대 감염되고 그 중 5대의 하드디스크가 초기화 되는 정도의 피해를 입혔고, 원전 운용이나 안전에는 전혀 이상이 없다고 강조했다.
한수원의 자체점검 결과 지금까지 6차례에 걸쳐 공개된 원전 관련 자료 94개는 원전운용과 관련한 핵심자료가 아닌 교육용 자료 등의 일반문서가 대부분이었던 것으로 전해졌다. 합수단은 해당 파일들이 한수원 내부망에서 유출된 것이 아니라고 밝혔다.
합수단은 미국, 중국, 태국 등과의 긴밀한 공조를 통해 해킹집단과 배후세력의 실체를 파악하는데 주력하겠다고 밝혔다.