자칭 ‘원전반대그룹’이 원전가동 중단을 요구한 시한을 넘긴 12월 25일 부산 기장군 고리원자력 발전소 정문 앞에 보안요원들이 출입차량을 상대로 검문검색을 강화하고 있다. 연합뉴스
합수단의 발표에 따라 IP 주소가 발견된 중국 선양에 관심이 쏠리고 있다. 해킹을 저지른 배후에 북한이 있을 것이라는 유력한 정황으로 포착되기 때문이다. 물론 지역만 갖고는 해킹 배후 세력이 북한이라고 특정하기 어렵다는 지적도 있다. 보안 전문가들은 해커가 여러 단계의 우회 IP를 거치면서 흔적을 감췄다면, 중국발 IP 역시 하나의 ‘경유지’에 불과할지도 모른다는 분석도 내놓고 있다. 경찰청 사이버수사대 관계자는 “해킹이나 사이버 범죄의 경우 중국이나 동남아 쪽을 경유해 IP를 ‘세탁’해서 오는 경우가 상당하다”라고 전했다.
하지만 보안업계에서는 한수원 도면 유출 사건의 배후가 북한인 것으로 보는 시각이 상당하다. 보안 관련 국내 최대 인터넷신문인 <보안뉴스>는 한수원 해킹 사건이 세상이 드러나기 전인 2014년 12월 15일 저녁, 해킹 조직 ‘원전반대그룹(WHO AM I)’으로부터 메일을 받았다. 메일 내용은 한수원 직원 정보와 프로그램 파일, 제어 프로그램 정보였다. <보안뉴스> 권준 편집국장은 “처음에는 해킹 조직인지 몰랐고 내부 유출자가 아닐까 생각했다. 하지만 직원 정보를 알아보니 정말 한수원 직원이 맞았고, 해킹 가능성이 높다고 봤다. 이후 경찰 및 검찰에 관련 사실을 신고하고 17일 최초 보도를 했다”라고 전했다. <보안뉴스>는 한수원 측에도 “악성코드가 들어간 것 같다. 조사를 하라”고 전달했지만, 한수원 측은 “퇴직자 커뮤니티에서 직원 정보가 유출된 것 같다. 해킹 가능성은 없다”고 일축했다고 한다.
한수원 해킹 사실이 대대적으로 언론보도를 통해 드러난 것은 2014년 12월 18일이다. ‘원전반대그룹(WHO AM I)’은 당일 날에도 한수원을 비웃듯 보란 듯이 원전 자료를 공개했다. 한수원 측은 “그다지 중요한 문건이 아니다”라고 부인했지만, 내부 문건이 대대적으로 유출된 사실에 파장은 걷잡을 수 없이 커졌다.
보안 전문가들에 따르면 원전반대그룹(WHO AM I)의 해킹 공격은 그다지 새로운 것이 없었다고 한다. 이메일을 통해 악성코드를 심어 침투를 하는 것은 전형적으로 ‘고전적인 방식’이라는 것이다. <보안뉴스> 권준 편집국장은 “IT 업계에서는 해킹 조직의 공격 방식을 보고 나이가 40~50대로 추정된다는 얘기가 돌았다. 제보 중에는 트위터 말투가 함경도 말투 같다는 얘기도 있었다. 그만큼 업계에서는 해킹 배후에 북한이 있을 가능성이 유력하게 제기되는 중”이라고 전했다.
한편 한수원을 해킹하기까지 원전반대그룹(WHO AM I)은 상당한 노력과 시간을 기울였을 가능성도 제기된다. <보안뉴스>에 따르면 한수원 해킹 사건이 불거지기 전, 한수원에게 부품을 납품하는 업체가 미리 해킹을 당한 사실이 포착됐다고 한다. 권준 편집국장은 “원전 장비 납품 업체를 미리 해킹한 것으로 봤을 때, 미리 한수원에 대한 공부를 해온 것으로 예상된다”며 “해킹 공격을 상당히 오랜 시간부터 준비해 온 것으로 예상되는 대목이다”라고 전했다.
박정환 기자 kulkin85@ilyo.co.kr
