합수단은 지난 9일 악성코드를 심은 다량의 이메일이 한수원 퇴직자 명의의 계정에서 한수원 직원들에게 발송된 사실을 파악한 바 있다.
합수단은 추가 수사를 통해 지난 9일뿐 아니라 지난 10∼12일 악성코드를 담은 이메일 6개가 한수원 직원에 발송된 사실을 새로 발견했다.
발송된 이메일들은 파일 삭제 기능이 있는 공격용 악성코드가 심어져 있는 것으로 조사됐다.
다만 이 악성코드에는 컴퓨터 내부정보를 빼내는 기능은 갖고 있지 않은 것으로 확인됐다.
합수단이 한수원으로부터 제출받아 분석 중인 컴퓨터 4대도 이메일 공격을 받아 파괴된 것이다. 한수원 내부에서만 쓰는 업무용 컴퓨터 3대, 외부 인터넷 사용 목적으로 쓰인 컴퓨터 1대다.
지난 9일부터 12일까지 한수원에 악성 이메일을 발송한 이메일 계정은 모두 211개로 파악됐다. 이 중 55개가 한수원 퇴직자 명의를 도용한 이메일 계정인 것으로 드러났다.
포털사이트 다음의 한메일과 구글의 지메일, MSN의 핫메일 등의 계정이 도용됐다. 한수원 퇴직자 명의가 아닌 이메일 계정은 제3자의 것들이며, 이들 계정 중에는 현직 한수원 내부 직원의 계정은 없는 것으로 나타났다.
제3자인 명의도용 피해자 중에는 세종시에서 농업에 종사하는 농민도 있는 것으로 전해졌다. 이메일에는 '○○ 도면입니다'라는 제목 외에도 '견적서', '시방서', '송전선로 프로그램 관련' 등의 제목을 달았다.
한수원 직원이라면 무심코 이메일을 열어볼 수 있도록 '미끼 제목'을 붙여놓은 것이다. 이메일 공격을 한 인물과 지난 15일부터 최근까지 5차례에 걸쳐 인터넷 블로그와 트위터 등에 원전도면 등 한수원 주요 자료를 유출·공개한 인물은 동일 인물일 가능성이 매우 크다고 합수단은 설명했다.
합수단에 따르면 지난 9일 이메일 공격에 동원된 악성코드는 실행할 경우 컴퓨터의 데이터가 파괴되는데, 이 컴퓨터를 다시 부팅하면 'WHO AM I?'라는 문구가 나타난다.
이는 자료 유출범 추정 인물이 인터넷에 글을 올리면서 쓴 문구와 같다. 한수원 퇴직자들의 이메일 계정에 접근하기 위해 범인이 사용한 IP가 중복되고, 접근 시간대도 같은 경우가 많았다는 점 역시 동일범이라는 추정을 가능케 한다.
합수단은 이메일 공격이 진행된 지난 9일부터 유출 자료를 담은 3번째 글이 게시된 지난 19일까지 동일범으로 추정되는 인물이 중국 선양에서 300회 이상 IP 접속을 한 것으로 파악했다.
북한 인접 지역인 선양발 IP가 동원됐다는 점에서 합수단은 범행이 북한과 관련이 있을 가능성을 배제하지 않고 수사를 벌이고 있다.
이번 이메일 공격 방식도 특정한 대상을 목표로 했다는 점에서 APT(지능형 지속 위협) 방식의 해킹으로 볼 수 있는데, 이는 미국 영화사 소니픽처스 엔터테인먼트 해킹 때 쓰인 북한의 수법과 유사하다는 분석이 나온다.
그러나 합수단 측은 소니픽처스 해킹 사건과의 관련성에 대해 확인한 바는 없으며 미국 연방수사국(FBI)로부터 관련 자료를 받은 적도 없다는 입장이다. 합수단은 수개월 전부터 여러 명이 조직적으로 이메일 공격과 자료 해킹을 준비해 범행한 것으로 보고 있다.
합수단은 이메일 공격으로 침투한 악성코드가 원전 운전을 통제하는 한수원 내부망에 접근했을 가능성에 대해서도 조사하고 있다.
원칙적으로 내부망은 철저히 분리돼 있지만 내부망과 직원용 업무망 사이에서 자료를 이동시킬 때는 바이러스 감염 여부 등을 검사해서 옮기는데, 이런 검사에서 걸러지지 않는 신종 악성코드가 침투했을 가능성이 있기 때문이다.
한경닷컴 뉴스룸
기사제보 및 보도자료 open@hankyung.com
[한경+ 구독신청] [기사구매] [모바일앱] ⓒ '성공을 부르는 습관' 한경닷컴, 무단 전재 및 재배포 금지
관련뉴스