檢, 악성코드 e메일 3000통 분석 “종사자가 보낸 것처럼 내용 꾸며… 여러명 오랜 기간 치밀하게 준비”
개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 해커가 이달 9일 발송한 악성코드 e메일 3000여 통 중 일부를 분석한 결과 한수원 직원들이 무심코 문서를 열어 보게끔 유도하는 내용이 다수 포함돼 있었던 것으로 파악했다.
합수단에 따르면 e메일에는 “RRS(원자로핵연료교환시스템) 프로그램입니다”, “증기발생기 자동 감압 내용 참고하세요” 등 한수원 직원들이 주로 사용하는 업무 용어와 약어가 자주 사용됐다. “수정할 부분이 많은데 제출 기한이 오늘까지라 아쉽네요”라며 악성코드가 숨겨진 한글 파일을 실행하도록 유도하는 문구도 있었다. 한글 파일에도 ‘제어프로그램(최신W-2)’ ‘시방서’ 등 업무에서 흔히 사용되는 단어를 이용해 ‘미끼’성 제목을 붙였다. 합수단은 해커가 한수원 퇴직자 55명의 개인 e메일을 도용해 공격에 활용한 이유도 한수원 직원들의 경계심을 누그러뜨리려는 전략이었다고 보고 있다.
합수단은 해커가 오래전 해킹에 사용할 e메일 계정과 비밀번호를 미리 확보해 둔 정황도 발견했다. e메일 공격에 도용된 계정 211개의 접속 기록을 확인한 결과 해커의 근거지로 추정되는 중국 선양(瀋陽)의 인터넷주소(IP주소)에서 연결된 흔적이 공격 수개월 전부터 이어져 온 것으로 나타났다.
원전 해커가 북한과 연계됐는지도 정밀 분석 대상이다. 해커가 사용한 악성코드를 직접 분석한 한 보안전문가에 따르면 악성코드가 제작된 PC의 사용자 이름은 ‘assembly’(국회) ‘mnd’(국방부) 등인 것으로 파악됐다. 과거 북한의 해킹 공격 대상에 올랐던 국내 기관명이 PC의 이름으로 사용된 배경도 확인 대상이다. 합수단은 지난달 25일 미국 소니픽처스를 공격한 북한 해커의 IP주소도 미국 연방수사국(FBI)에 요청할 계획이다.
변종국 bjk@donga.com·조건희 기자