해커들, 한수원 퇴직임원 명의로 악성메일 보냈다

‘원전반대그룹(Who Am I)’이란 이름의 해커는 수년 전부터 치밀하게 한국수력원자력 해킹을 계획해온 것으로 확인됐다. 수년 전 퇴직한 직원들 명의로 지난 9일 한수원 임직원에게 대량으로 이메일을 뿌렸다. 일종의 ‘미끼’인 이 이메일에는 악성코드 300여종이 심어져 있었다. 산업통상자원부와 한수원은 우려했던 해커의 ‘크리스마스 공격’이나 이상 징후는 없었다고 밝혔다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 지난 9일 한수원 퇴직자 수십명의 사설 포털 이메일 계정에서 현직 임직원의 한수원 이메일 계정으로 다수의 악성 이메일이 발송된 사실을 확인했다고 25일 밝혔다. 이메일 제목은 ‘??? 도면입니다’라는 식으로 업무와 관련된 것처럼 돼 있었다.

각 이메일에는 아래한글 파일이 첨부됐는데, 이 파일을 실행하면 악성코드가 설치돼 컴퓨터를 오염시킨 것으로 파악됐다. 명목상 악성 이메일 송신자는 한수원 퇴직자들이다. 하지만 검찰은 이들 역시 해커에게 명의를 도용당했다고 보고 있다. 검찰 관계자는 “이메일이 수백통 왔기 때문에 악성코드에 감염된 한수원 컴퓨터는 이미 알려진 4대보다 더 많을 것”이라고 말했다.

검찰은 해커가 꽤 오랫동안 준비를 했다고 분석했다. 한수원 퇴직자 명의를 도용해 이메일을 보냈다는 것은 지난 9일 본격적으로 한수원을 공격하기 이전부터 임직원 개인정보 등을 파악하고 있었다는 얘기다. 검찰 관계자는 “2012년부터 지난해 사이에 일부 내부 정보가 유출됐을 것”이라고 했다.

검찰은 지난 15일부터 5차례 한수원 내부자료를 인터넷과 SNS에 공개한 해커가 지난 9일 악성 이메일을 보낸 해커와 같은 인물이거나 동일 조직이라고 판단하고 있다. 검찰 관계자는 “이메일이 발송된 인터넷 프로토콜(IP)을 확인한 결과 중국 선양(瀋陽)에서 접속된 흔적이 있었다”고 했다. 일부 IP는 12자리 숫자 중 마지막 한 자리를 빼고 일치한 것도 있었다.

윤상직 산업부 장관을 비롯해 산업부와 한수원 임직원은 24일 밤부터 철야 비상근무를 했다. 윤 장관은 25일 고리·월성 원전 인근 주민들을 만나 정부의 대응 태세를 설명했다. 한수원은 혹시 모를 상황에 대비해 내부 PC로 들어오는 외부 이메일을 전면 차단하고, 27일까지 비상대기체제를 가동키로 했다. 국민안전처는 사이버테러로 인한 원전 방사선 누출사고에 대비해 26일 일제 점검 및 훈련을 실시한다.

이경원 기자, 세종=이성규 기자 neosarim@kmib.co.kr