원전 공격 엄포, 무기는 이메일 비번

‘크리스마스 원전 가동 중단’ 협박의 무기는 결국 이메일 비밀번호였다. 해커 ‘원전반대그룹(Who Am I)’이 인터넷에 공개한 한국수력원자력의 원전 도면 등은 한수원과 협력업체 직원들이 주고받은 이메일을 해킹해 빼간 것으로 확인됐다. 다만 해커의 소재는 중국 사법당국과의 공조수사가 늦어져 여전히 불투명한 상태다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 해커로 추정되는 이가 한수원 원전 도면 등 자료를 빼낸 방식과 경로를 상당 부분 파악했다고 21일 밝혔다. 해커는 지난해 8~9월 한수원과 협력업체 직원들에게 악성코드를 담은 이메일을 대량 발송, 링크를 눌러 특정 인터넷 사이트를 방문케 하는 ‘피싱(Phishing)’으로 비밀번호들을 빼냈다. 해커는 퇴직자들에게도 미끼성 이메일을 발송했다.

검찰 관계자는 “한수원과 협력업체 직원들은 자신도 모르게 비밀번호를 탈취당했다”며 “해커는 이메일로 주고받은 기밀·업무자료를 열람할 수 있었다”고 말했다. 해커는 자신의 이메일을 열어보는 것처럼 손쉽게 첨부 자료들을 빼내 이 중 84건을 포털 블로그나 소셜네트워크서비스(SNS)에 폭로했다. 해커는 유출 자료를 일반에 공개할 때도 다른 누군가의 개인정보를 도용했다.

유출 자료의 상당 부분은 한수원이 감사원 지적에 따라 내·외부 전산망을 분리한 2013년 4월 이후 해커에게 흘러간 것으로 파악됐다. 그간 한수원은 전산망이 분리돼 있기 때문에 외부 이메일 공격이 폐쇄된 내부 업무망을 뚫기 어렵다고 강조해 왔다. 하지만 해커의 이메일 비밀번호 해킹은 망 분리와 별다른 연관이 없다는 지적이 나온다. 검찰 관계자는 “내부 메일이든 외부 메일이든, 열어봐서 PC가 감염되면 비밀번호가 유출되는 것”이라고 말했다.

검찰의 두 갈래 수사 가운데 유출 경로는 어느 정도 윤곽이 드러났지만 유출범 검거는 여전히 쉽지 않은 상황이다. 검찰은 중국 선양(瀋陽)을 한수원 해킹의 거점으로 파악하고 암호화된 인터넷 프로토콜(IP)들의 분석 작업에 주력해 왔다. 검찰은 지난달 중국 사법당국에 IP 추적 공조를 요청했고, 중국 측은 이례적으로 신속한 수사 착수 회신을 보내왔다.

하지만 검찰은 아직 해커의 구체적 소재나 흔적 등 유용한 정보를 얻지는 못한 것으로 알려졌다. 선양 지역으로 파악된 IP 역시 해커가 가상사설망(VPN)으로 ‘세탁’한 우회로였기 때문이라는 관측이 나온다. 검찰 관계자는 “공조를 계속 기다려야 하는 상황”이라고 말했다.

이경원 기자 neosarim@kmib.co.kr