9일 하루에만 5980건 발송…디스크 파괴 기능 담겨
中과 공조수사 지체…선양발 IP 추적 '주춤'
한국수력원자력의 원자력발전소 내부 자료를 유출한 것으로 추정되는 인물이 한수원 전체 직원의 3분의 1에게 악성코드가 담긴 이메일 수천건을 보낸 것으로 조사됐다.
원전자료 유출 사건을 수사 중인 개인정보범죄정부합동수사단(단장 이정수 부장검사)은 유출 추정 인물 또는 집단이 지난 9일부터 12일까지 악성코드가 담긴 이메일 5986건을 한수원 직원들에게 보낸 것을 확인했다고 28일 밝혔다.
이 가운데 5980건이 지난 9일 하루에만 대량으로 발송됐으며, 10일~12일 3일간 6건이 추가로 발송됐다.
합수단에 따르면 중복된 수신자를 빼면 한수원 전체 직원 9500여명 중 3분의 1이 넘는 3570여명이 악성코드 이메일을 받았다. 이메일을 받은 직원들에게 유사점은 발견되지 않았고, 불특정 다수 직원들에게 메일을 보냈다는 게 합수단의 설명이다.
합수단 분석 결과 한수원 직원들에게 발송된 해당 이메일에 첨부된 한글파일에는 300여종에 이르는 악성코드가 담겼던 것으로 확인됐다.
합수단은 대검찰청 포렌식센터와 정보보안업체 안랩을 통해 교차 분석한 결과 악성코드에 자료 유출 기능은 없는 것으로 파악했다.
다만 해당 악성코드들에 파일 실행에 장애를 일으키거나, 네트워크 패킷을 발생시켜 망 과부하를 유발하는 기능이 있었다고 밝혔다. 감염된 컴퓨터의 하드디스크를 포맷하는 것과 유사한 디스크 파괴 기능도 발견됐다.
이메일로 전달된 악성코드의 디스크 파괴 기능은 지난 10일 오전 11시에 작동하도록 설정돼 있었다.
현재까지 일부 한수원 직원들이 파일을 열어봤던 업무용 컴퓨터 4대만 디스크가 파괴된 것으로 확인됐다. 다만 한수원 측이 지난 9일 대량으로 전달된 악성코드 이메일 대부분을 삭제해 추가 감염된 컴퓨터는 확인되지 않았다고 합수단은 전했다.
합수단에 따르면 악성코드를 보낸 이메일 계정은 총 211개다. 이 가운데 55개가 한수원 퇴직자의 명의를 도용한 포털사이트 다음, 지메일, 핫메일 등 사설 계정이었다.
현재 성탄절인 25일 예고됐던 추가 공격은 이뤄지지 않았지만, 합수단은 여전히 추가 범행 가능성도 있다고 보고 있다.
합수단 관계자는 "9일 이메일 공격은 한수원에서 당일 발견해 빠르게 조치해서 업무시스템이 정상적으로 작동했다는 점에서 실패한 측면이 있다"면서도 "수사초기 단계이고, 범인의 전체 계획을 모르는 상황에서 계획이 실패라고 결론 내릴 것은 아니다"고 말했다.
합수단은 범인 추적ㆍ검거에 수사력을 집중하는 한편 원전 도면 등 내부 자료가 유출된 경로와 시점도 확인하고 있다.
합수단은 월성ㆍ고리 원전에서 도면 자료 등을 취급하는 직원들의 컴퓨터 30여대를 확보해 추가 악성코드 감염 여부와 보안상 취약점은 없었는지 분석 중이다.
합수단은 한수원 내부 시스템 해킹에 의한 자료 유출에 무게를 두고 있지만, 내부 직원과 협력업체가 자료를 주고받는 과정에서 자료가 유출ㆍ탈취됐을 가능성도 배제하지 않고 있다.
합수단은 이와 관련해 한수원 협력업체 1곳의 컴퓨터와 자료를 임의제출받아 자료 유출 기능이 있는 악성코드 감염 여부 등을 확인하고 있다.
앞서 합수단은 범인 추정 인물이 자료 유출 등 범행 당시 사용한 국내 사설가상망(VPN)의 IP를 역추적한 결과, 중국 선양에서 집중적으로 해당 IP에 접속한 사실을 확인했다.
이에 따라 합수단은 법무부를 통해 중국에 국제공조수사를 요청한 상태이지만 중국과 협의가 늦어지는 것으로 알려져 선양발 IP의 정확한 소재와 가입자 신원 확인에는 시간이 걸릴 전망이다.
기사제공=뉴스1(시애틀N 제휴사)