원전 해커, 中 선양서 IP 20여개 집중 사용

한국수력원자력 전산망을 공격한 해커는 중국 선양(瀋陽)을 주소지로 둔 인터넷 프로토콜(IP) 20여개를 집중 사용한 것으로 24일 확인됐다.

청와대는 25일 김관진 국가안보실장 주재로 ‘국가사이버안보위기평가회의’를 개최해 상황을 점검하고 대책을 논의키로 했다.

동북3성 최대 도시인 선양은 북한 사이버전 전력인 정찰총국 요원들이 활동하는 곳으로 알려져 있다. 한수원 해킹 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 ‘원전반대그룹(Who Am I)’으로 추정되는 이가 선양 지역 IP로 200∼300여 차례 접속한 사실을 확인했다고 24일 밝혔다. 검찰은 해커가 유출 자료를 인터넷에 게재할 때 활용한 국내 인터넷 가상사설망(VPN)을 역추적했다.

검찰 관계자는 “국내 VPN 업체가 할당한 IP 대부분이 선양 쪽 IP에서 접속됐다”며 “중국 당국과 사법공조 절차를 밟고 있다”고 말했다.

해커는 도용한 타인명의 계좌로 유료인 국내 VPN 서비스를 장기간 이용한 것으로 드러났다. 서울에 거주하는 한 시민의 개인정보를 이용해 2년 전 VPN 서비스에 가입했다. 서비스 이용료는 탈취한 누군가의 공인인증서를 동원해 매월 자동이체 방식으로 결제했다. 검찰 관계자는 “입금에 쓰인 계좌가 한두 개가 아니다”며 “계좌 압수수색을 통해 꼬리를 추적 중”이라고 말했다. 다만 검찰은 해킹과 북한의 관련성에 대해 단정도 부정도 할 수 없다고 했다.

한편 황교안 법무부 장관은 국회에 출석 “북한의 소행일 가능성을 갖고 수사하고 있다”고 말했다.

이경원 문동성 기자 neosarim@kmib.co.kr