악성코드 담긴 이메일 한수원 퇴직자 명의로 살포

검찰은 25일 ‘원전반대그룹(Who Am I)’이란 이름의 해커가 수년 전부터 치밀하게 한국수력원자력 해킹을 계획해 온 것으로 파악됐다고 밝혔다. 수년 전 퇴직한 직원 명의로 지난 9일 한수원 임직원에게 대량으로 이메일을 뿌렸는데, 일종의 ‘미끼’인 이 메일에 악성코드 300여종이 들어 있었다는 것이다. 산업통상자원부와 한수원은 우려했던 해커의 ‘크리스마스 공격’이나 이상 징후는 없었다고 밝혔다. 청와대 국가안보실도 “원전 가동 중단이나 위험한 상황이 초래될 가능성은 없다”고 했다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 지난 9일 한수원 퇴직자 수십명의 사설 포털 이메일 계정에서 현직 임직원의 한수원 이메일 계정으로 다수의 악성 이메일이 발송된 사실을 확인했다고 밝혔다. 이메일 제목은 ‘○○○ 도면입니다’라는 식으로 업무 메일처럼 돼 있었다.

각 이메일에는 아래한글 파일이 첨부됐다. 이 파일을 실행하면 악성코드가 설치돼 컴퓨터를 오염시키는 것으로 파악됐다. 악성 이메일의 명목상 송신자는 한수원 퇴직자들이다. 하지만 검찰은 이들 역시 해커에게 명의를 도용당했다고 보고 있다. 검찰 관계자는 “이메일이 수백통 왔기 때문에 악성코드에 감염된 한수원 컴퓨터는 이미 알려진 4대보다 더 많을 것”이라고 말했다.

검찰은 해커가 꽤 오랫동안 준비를 했다고 분석했다. 한수원 퇴직자 명의를 도용해 이메일을 보냈다는 것은 지난 9일 본격적으로 한수원을 공격하기 이전부터 임직원 개인정보 등을 파악하고 있었다는 얘기다. 검찰 관계자는 “2012년부터 지난해 사이에 일부 내부 정보가 유출됐을 것”이라고 했다.

검찰은 지난 15일부터 5차례 한수원 내부자료를 인터넷과 소셜네트워크서비스(SNS)에 공개한 해커가 지난 9일 악성 이메일을 보낸 해커와 같은 인물이거나 동일 조직이라고 판단하고 있다. 검찰 관계자는 “이메일이 발송된 인터넷 프로토콜(IP)을 확인한 결과 중국 선양(瀋陽)에서 접속된 흔적이 있었다”고 했다. 일부 IP는 12자리 숫자 중 마지막 한 자리를 빼고 일치한 것도 있었다.

반면 한수원은 최근 공개된 내부자료가 지난 9일 발생한 사이버 공격 때 유출된 건 아니라는 입장을 내놨다. 한수원은 “지난 9일 월성원전 직원 이메일에 악성코드가 유입된 사실을 처음 확인하고 즉시 차단 조치를 취했다”며 “지금까지 공개된 자료에는 악성코드가 유입될 무렵의 최신 자료가 없는 점으로 미뤄 그 악성코드 때문에 유출된 건 아닌 것으로 추측된다”고 말했다.

국가안보실은 이날 ‘국가사이버안보위기 평가회의’를 긴급 소집했다. 국가안보실은 “원전 제어 시스템은 외부 망과 물리적으로 분리돼 해킹에 의한 접근이 원천 차단돼 있다”고 강조했다. 윤상직 산업부 장관을 비롯해 산업부와 한수원 임직원은 24일 밤부터 철야 비상근무를 했다. 한수원은 내부 PC로 들어오는 외부 이메일을 전면 차단하고, 27일까지 비상대기체제를 가동키로 했다.

이경원 기자 neosarim@kmib.co.kr