기자까지 노리는 해커

지난해 말 한국수력원자력 원전 설계도면을 공개하며 원전 가동 중단을 협박했다 최근 4개월여 만에 활동을 재개한 사이버테러범 ‘원전반대그룹(Who Am I)’이 취재기자들에게 악성코드가 담긴 이메일을 보낸 것으로 확인됐다.

원전반대그룹을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사1부장)은 “해킹 세력과 동일한 세력으로 추정되는 세력들이 지난 13일 기자들에게도 이메일로 문서를 보냈다”고 14일 밝혔다. 합수단은 “실행파일 한 개가 악성코드로 확인됐다”며 “자료 탈취 목적인지, 컴퓨터 파괴 목적인지는 분석이 더 필요하다”고 밝혔다.

원전반대그룹은 지난 8일 미국계 인터넷 사이트에 한수원이 보유한 원전 기밀자료와 청와대·국방부 관련 문서 등을 공개하며 지난해 12월과 지난 3월에 이어 재등장했다. 당국은 해당 사이트에 요청해 국내 이용자들의 접근을 차단했고, 원전반대그룹은 지난 13일 새로운 트위터 계정으로 국방부 문서 등을 추가 공개했다.

합수단은 원전반대그룹이 폭로한 내용 가운데 사실과 다른 내용이 많다는 입장이다. 원전반대그룹은 지난 13일 트위터에서 “한국 국방선진화위원회 박 교수와 한수원 조 박사가 미국에서 해외 반출이 금지돼 있는 MCNP 최신버전과 한국에서 자체로 개발한 스페이스(SPACE) 3.0을 거래한 내용”이라고 주장했다. 하지만 이에 대해 합수단 관계자는 “MCNP는 의료계와 연구기관에서 사용하는 공개된 범용 프로그램으로 금지된 적이 없고 거래가 이뤄지고 있다”고 밝혔다. 스페이스의 최신 버전은 ‘2.16’으로 ‘3.0’까지는 나오지도 않았다는 설명도 있었다.

합수단은 원전반대그룹이 유출자료를 게시할 때 중국 등 우리나라 주변국에서 인터넷 프로토콜(IP)에 접속한 것으로 파악했다. 합수단은 지난해 원전반대그룹이 한수원을 위협할 때 중국 선양, 러시아 블라디보스토크 등지에서 접속한 사실을 포착해 북한 해커조직의 소행으로 파악한 바 있다. 합수단은 국제 사법 공조를 통해 정확한 해커 소재지를 추적 중이다.

이경원 기자 neosarim@kmib.co.kr