작년 말 인터넷과 사회관계망 서비스(SNS) 등에 유출된 한국수력원자력의 자료 중 일부 핵심 자료는 한수원 협력사 사장의 컴퓨터가 해킹당해 빠져나간 것으로 파악됐다.

이 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 범인이 작년 12월에 5차례에 걸쳐 공개한 한수원 자료 84건의 유출 경로를 추적한 결과 이 같은 사실을 파악한 것으로 5일 전해졌다.

유출 자료 중 한수원 관계자 주소록과 연락처 등은 한수원 전·현직 직원의 이메일이 해킹돼 빼돌려졌지만, 원전 설계 자료나 일부 도면, 사진 등 중요 자료들은 한수원 협력사 컴퓨터가 해킹돼 유출된 것으로 조사됐다.

특히 원전 납품 물량의 안전평가 업무를 대행하는 A사의 사장 컴퓨터가 범행의 표적이었던 것으로 나타났다.

범인은 A사가 한수원에 비해 상대적으로 보안이 취약한 반면 업무 특성상 원전 시설물이나 제품 관련 정보를 한수원과 자주 공유한다는 점을 노린 것으로 보인다.

자료를 빼내는 데에는 이메일 등으로 컴퓨터를 악성코드에 감염시킨 뒤 저장된 자료를 훔치는 ‘피싱’ 수법이 활용된 것으로 알려졌다.

A사 사장의 컴퓨터를 해킹할 때 범인은 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스로 할당받은 IP를 동원한 것으로 합수단은 보고 있다.

합수단은 2013년 8월께 원전업계에서 ‘제57차 국제원자력기구(IAEA) 총회 참가자료’가 해킹을 통해 유출된 사건과 이번 사건의 연관성도 수사하고 있다.

이번 사건의 범인은 작년 12월9일 한수원 직원들의 이메일로 파일 삭제 기능이 있는 공격용 악성코드를 다량 발송했는데, 이 악성코드를 구성하는 프로그램과 2013년 자료 유출에 쓰인 악성코드 프로그램이 유사하다는 점에 합수단은 주목했다.

작년 12월에 발송된 악성코드는 킴수키(kimsuky)라는 이름이 붙여져 있다. 이 악성코드는 북한이 사이버 범죄에 주로 활용하는 것으로 알려져 있다.

합수단은 자료 유출과 이메일 공격 등에 중국 선양발 IP가 집중적으로 사용된 점 등으로 미뤄 원전 자료 해킹이 북한 측의 소행일 가능성에 무게를 두고 중국과 사법공조에 속도를 내고 있다.

연합뉴스