한수원 이메일 악성코드, 파일 삭제 기능만 담겨

지난 9일 한국수력원자력 직원 수백명에게 무더기로 뿌려진 이메일에 담긴 악성코드에는 파일 삭제 기능만 있었던 것으로 확인됐다. 이후에도 수차례 공격이 이뤄졌다. 검찰은 외부에서 이메일 공격을 한 사실을 토대로 내부자 공모는 없을 가능성이 크다고 판단한다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 한수원 퇴직자 55명의 계정 등 모두 합쳐 211개 계정에서 15개 안팎의 악성코드가 담긴 이메일이 전송됐다고 26일 밝혔다. 9일 이후에도 악성코드가 담긴 이메일이 6차례 전송됐다.

악성코드에는 파일 유출 기능은 없었다. 감염되면 하드디스크의 일부 파일이 삭제되면서 부팅 화면에 ‘Who Am I’라는 문구가 출력된다. 이메일을 보낸 이들과 지난 15일부터 5차례에 걸쳐 한수원 내부 자료를 인터넷, 소셜네트워크서비스(SNS)에 공개한 해커가 동일 인물로 확인된 것이다. 악성코드 공격으로 작동 불능이 된 컴퓨터는 모두 4대(한수원 내부 접속용 3대, 외부 접속용 1대)로 드러났다. 또 해커는 수개월 전부터 미리 확보해둔 한수원 퇴직자 계정으로 사설 포털 사이트에 접속해 이 계정들이 정상적으로 작동하는지 수시로 확인했던 것으로 드러났다. 합수단 관계자는 “최소한 수개월 전부터 여러 명이 치밀하게 준비한 것으로 보인다”고 말했다.

문동성 기자 theMoon@kmib.co.kr