檢 “北의 관심돌리기 의도 가능성”
“안심하세요” 원전 주민들 만난 산업장관 25일 부산 기장군 고리원자력발전소 홍보관에서 윤상직 산업통상자원부 장관(왼쪽에서 두 번째)이 원전 인근 지역 주민들에게 사이버 테러에 대한 대응 상황을 설명하고 있다. 산업통상자원부 제공
개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)에 따르면 해커는 9일 한수원 직원들에게 e메일로 악성코드를 보낼 때 ‘후쿠시마 대책 보고서’ 등 기존에 확보해 둔 한수원 내부 자료(한글 파일)들을 ‘포장지’처럼 활용했다. 이때 악성코드 발송에 활용된 인터넷주소(IP주소)의 위치는 15일 이후 자칭 ‘원전반대그룹’이 한수원 자료를 유포하는 데 활용한 IP주소와 같은 중국 선양(瀋陽)인 것으로 확인됐다.
합수단이 ‘후쿠시마 대책 보고서’ 등의 메타데이터(문서의 작성자와 작성 시기 등이 담긴 정보)를 분석해 보니 해커가 자신의 PC에서 마지막으로 자료를 열어본 시점은 지난달 28일로 확인됐다. 해커가 PC 시계를 일부러 조작하지 않았다면 해당 자료는 적어도 지난달 이전에 유출됐다는 뜻이다.
靑 “원전 가동중단 가능성 없어”
악성코드 발송에 한수원 퇴직자 수십 명의 개인 e메일 계정이 도용된 점도 해커가 오래전에 직원 개인정보 등 내부 자료를 확보해 뒀다는 추리를 뒷받침한다.
하지만 해커가 악성코드를 만든 뒤 이를 한수원 직원들에게 보내는 데에는 하루가 채 걸리지 않았다. 직접 악성코드를 분석한 한 보안전문가에 따르면 이 악성코드는 8일 오후 4시경 제작된 뒤 22시간 만인 다음 날 오후 2시경 한수원 직원들에게 발송됐다. 소니픽처스를 지난달 25일 해킹한 세력으로 북한이 지목되고 ‘보복 공격’ 가능성이 불거지자 북한 측이 관심을 돌리기 위해 기존에 확보해 뒀던 원전 자료를 서둘러 공개했을 가능성이 제기되는 대목이다.
또 다른 보안전문가는 “악성코드의 발견을 막기 위해 심어진 ‘난독화 기술’이 북한이 평소 사용하는 것과 유사하다”고 전했다. 해커가 악성코드를 제작한 PC의 사용자 이름도 북한이 사이버 공작에 종종 사용하는 필명과 동일한 ‘John’이었던 것으로 알려졌다.
청와대 국가안보실은 25일 ‘국가 사이버안보위기 평가회의’에서 “사이버공격에 의한 원전 가동 중단이나 위험한 상황이 초래될 가능성은 없는 것으로 평가된다”고 밝혔다.
조건희 becom@donga.com·변종국·이상훈 기자