“해외 IP 사용, 글 올리는 방식 등을 보면 ‘초보 수준’이 아니다. 고도의 전문성을 갖춰 하루 이틀에 잡을 상황이 못 된다.”
한국수력원자력 원전 도면 유출 사건 수사에 전원을 투입한 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 “최종 IP의 추적까지는 시간이 걸릴 것”이라고 22일 밝혔다. 내부 유출과 외부 해킹 여부, 북한과의 연관성 모두가 아직은 불투명하다는 게 검찰 판단이다. 검찰 관계자는 “실력이 있는 해커라면 로그기록의 흔적을 지우기 때문에 분석에 상당한 시간이 소요될 것”이라고 말했다. 다른 검찰 관계자도 “지금 상황은 이게 판화인지 조각인지 회화인지 전혀 확인이 안 된다”고 토로했다.
검찰에 따르면 ‘원전반대그룹(Who Am I)’은 유출한 한수원 내부 자료를 공개할 때 국내는 물론 일본과 미국 등 다양한 해외 IP를 활용했다. 국내 주소의 IP 비중이 가장 높지만, 그렇다고 범인이 국내에 있을 가능성이 크다는 것은 아니다. 실제로 검찰은 해커가 사용한 IP를 대구에 사는 한 포털사이트 가입자의 것으로 확인하고 지난 21일 현장을 수사했지만, 이는 도용당한 것으로 확인됐다. 문송천 KAIST 테크노경영대학원 교수도 “수사가 시작되면 해커는 움츠러들게 마련이지만 이번에는 ‘강심장’같다”며 “잡힐 것을 각오하고 국내에서 일으킨 범행은 아닐 것”이라고 평가했다.
검찰은 한수원 내부 관계자의 공모, 협력업체 직원에 의한 유출 가능성도 열어두고 있다. 고리와 월성 원전에도 수사관을 파견, 유출 자료를 취급한 한수원 직원 및 협력업체 관계자의 컴퓨터를 임의제출 받았다. 검찰은 이 컴퓨터들의 악성코드 감염 여부, 해킹 피해 흔적 등을 분석 중이다. 문 교수도 “이런 대규모 해킹은 한수원 내부 직원 또는 보안 위탁업체가 결부된 공모 형태일 것”이라고 의심했다.
검찰은 또 해커가 가상사설망(VPN)을 통해 IP를 여러 차례 우회하는 방식으로 흔적을 감춘 정황을 포착했다. VPN은 공용 인터넷 회선을 내부인 전용선처럼 이용할 수 있는 기술로, IP를 위장하는 데 활용할 수 있다. 이에 검찰은 VPN 서비스를 제공하는 국내 H사를 조사해 누구에게 회선을 빌려줬는지 등을 조사할 방침이다. 검찰은 또 해커의 트위터 계정이 미국에서 등록된 것으로 파악하고 미 연방수사국(FBI)에 국제수사 공조를 요청한 상태다. 다만 해당 트위터 계정이 해외에 서버를 둔 이메일 주소로 만들어져 추적에는 시간이 소요될 것으로 관측된다.
이경원 정현수 기자
neosarim@kmib.co.kr
▶ 관련기사 보기◀
[原電 자료 유출 파문] “해커, VPN 통해 IP 위장 정황 포착”
입력 2014-12-23 04:12 수정 2014-12-23 09:50