한국 합동수사단 "원전 자료 유출, 북한 해커조직 소행"

한국 검찰의 최윤수 3차장검사가 17일 서울 고등검찰청에서 한수원 사이버테러 사건 중간수사 결과를 발표하고 있다.

지난해 말 '가동 중단 협박'에 이어 최근까지 범행이 끊이지 않았던 한국 원자력발전소의 자료 유출 사태는 북한 해커조직의 소행으로 판단된다고 한국 수사당국이 발표했습니다. 서울에서 박병용 기자가 보도합니다.

해커조직이 온라인 공간에 유포한 한국수력원자력 (한수원)의 원자력발전소 관련 자료들은 한수원 내부전산망에서 직접 빼낸 것은 아니었습니다.

관련 자료들은 전현직 임원과 협력사 관계자 등의 이메일이나 인터넷 동호회를 해킹해 유출한 것으로 조사됐습니다.

이 같은 사이버 공격은 이메일에 악성코드를 침투시켜 컴퓨터를 감염시킨 뒤 자료를 빼가는 이른바 ‘피싱’ 수법으로 주로 지난해 7월부터 9월까지 이뤄진 것으로 나타났습니다.

그러나 유출된 자료들은 원전 운용에 핵심 자료가 아니어서 원전 수출 등 국가적 정책에 영향을 미칠 만한 사안은 없었던 것으로 파악됐습니다.

한국의 개인정보범죄 정부합동수사단은 17일 이와 함께 한수원에 대한 사이버 범행이 북한 해커조직의 소행이라는 판단 결과를 담은 중간 수사결과를 발표했습니다.

합수단의 이 같은 판단에는 지난해 12월9일 이메일 공격에 사용된 악성코드가 북한 해커조직이 쓰는 악성코드인 ‘킴수키’와 구성과 동작 방식이 거의 유사하다는 점이 근거로 꼽혔습니다.

특히 범인은 자료 탈취와 이메일 공격, 그리고 자료 공개 등 범행에서 컴퓨터 주소, IP 추적을 막기 위해 한 인터넷 가상사설망 즉 VPN 서비스 업체의 주소를 사용했는데 여기서도 북한과의 연관성이 발견됐습니다.

범인이 이 회사의 가상사설망에 접근하기 앞서 접속한 인터넷 주소는 중국 선양에 소재한 것으로 이 주소 대역은 북한 압록강 주변에서 접속할 수 있습니다.

또 무선 인터넷 중계기를 사용하면 압록강 인접 지역에서도 접속이 가능하다고 합수단은 설명했습니다.

가장 최근인 지난 12일 사회관계망, 트위터에 게시된 6번째 글은 종전의 5차례 계정과 동일한 계정이 사용됐고 접속에 사용된 IP는 러시아 블라디보스톡에 있는 것으로 조사됐습니다.

합수단에 따르면 ‘원전반대그룹’을 자칭한 범인은 지난 12월 다섯 차례, 그리고 지난 12일 한 차례 등 모두 여섯 차례에 걸쳐 원전 관련 도면 등을 인터넷과 사회관계망서비스에 유포했습니다.

지난해 12월에는 원전 가동을 중단하지 않으면 자료 공개를 계속하겠다고 협박했고 지난 12일에는 ‘돈이 필요하다’는 글을 남기기도 했습니다.

서울에서 VOA 뉴스 박병용입니다.