안병용 기자dks1117@hanmail.net 2014.12.26 20:21:05
[에너지경제 안병용 기자] 인터넷에 공개된 원전 자료가 한국수력원자력 퇴직자의 개인 컴퓨터에서 유출됐을 가능성이 제기됐다.
26일 보안업계에 따르면 원전 자료를 공개한 자칭 '원전반대그룹'이 한수원 내부 정보망을 해킹해 빼냈다며 23일까지 다섯 차례에 걸쳐 인터넷에 올린 자료 중 일부가 앞서 9일 사이버 공격 때 사용된 정황이 포착됐다.
문제의 자료는 원전반대그룹이 지난 15일 처음 블로그와 트위터에 공개한 자료들 가운데 하나인 'CANDU(캐나다형 중수로원전) 제어 프로그램 해설서'로 25페이지 분량의 한글 문서파일(hwp)이다.
보안업계 한 관계자는 "이 파일이 앞서 9일 공격 때 한수원 직원들에게 발송된 이메일에 첨부됐던 한글 문서파일들 가운데 하나와 일치한다"고 밝혔다.
이 같은 사실은 한수원이 공격을 받은 직후 백신업체에 신고할 때 해당 악성메일 일부가 바이러스 정보공유 사이트에 게시되면서 보안업계에 알려졌다.
당시 공격 때 쓰인 악성코드는 전파 수단으로 한글 문서파일을 이용하는 것이 특징이다.
이 같은 정황은 원전반대그룹이 9일 공격 때 한수원 내부망에 악성코드를 심기 위해 이메일을 받은 직원들이 첨부된 한글 문서파일을 열어보도록 사전에 원전 관련 자료를 확보해 미끼로 사용했음을 보여준다.
나아가 이는 해커로 추정되는 원전반대그룹이 9일 공격 때 한수원 내부망을 직접 해킹해 빼냈음을 암시하며 다섯 차례에 걸쳐 공개한 총 85건의 자료들의 유출 시기가 9일이 아닐 뿐 아니라 출처도 한수원 내부가 아닐 수 있음을 의미한다.
보안업계는 원전반대그룹이 일부 원전자료를 9일 공격 전에 이미 확보하고 있었던 정황과 공격 때 한수원 퇴직자 메일 계정이 대거 도용된 점을 근거로, 최근 공개된 원전자료들이 한수원 내부가 아닌 퇴직자 PC에서 유출됐을 가능성이 있는 것으로 추정하고 있다.
아울러 한수원이 보안전문업체와 함께 1주일 이상 5천∼6천대에 달하는 한수원의 업무용 PC를 대상으로 고강도의 점검을 벌였지만, 해킹이나 자료 유출의 흔적을 발견하지 못한 점도 이를 뒷받침하는 것으로 보고 있다.
사전에 한수원 내부에서 이미 자료를 빼낼 정도로 보안망을 뚫는데 성공했다면 굳이 9일 티나게 사이버공격을 한 이유가 석연치 않다는 지적도 있다.
보안업계 한 관계자는 "지금까지 수사 결과로 보면 배후가 북한일 가능성이 커 보인다"며 "하지만 유출 자료의 출처는 한수원 내부가 아니라 퇴직자 PC를 비롯해 외부일 가능성도 있다"고 말했다.
이어 "일부 추론처럼 북한이 수년 전부터 한수원의 보안망을 농락했을 가능성도 배제할 수는 없지만, 현실적으로는 그보다 퇴직자의 PC 등을 해킹해 원전자료를 빼냈다고 볼 개연성이 더 크다"고 설명했다.
한수원은 직원들이 외근 중 연락처를 확인하고 퇴직자의 경조사 관리를 할 수 있게 외부 서버를 이용해 직원 커뮤니티 웹사이트를 운영해오다, 이번 사건으로 지난주 패쇄했다.
한수원은 유출된 원전 자료 가운데 임직원 연락처는 이 사이트에서 유출됐을 가능성이 있는 것으로 의심하고 있다.
이 사이트에는 현직 직원뿐만 아니라 퇴직자의 이메일 등 연락처도 함께 저장돼 있었다.
만약 퇴직자들의 이메일 주소가 해커에게 노출됐다면 퇴직자들의 PC가 악성코드를 담은 이메일 등으로 쉽게 뚫려 내부 자료가 얼마든지 유출됐을 수 있다는 분석이다.
게다가 보안의식이 지금보다 현저히 낮았던 과거에 회사를 떠난 퇴직자들의 PC에는 한수원 근무 당시 사용했던 일부 원전자료가 그대로 남아있을 가능성이 있다는 것이다.
유출된 엑셀문서로 된 한수원 임직원 연락처는 011, 017, 018, 019 등 지금은 사용하지 않는 휴대전화번호가 상당수 포함돼 있어, 수년 전에 작성 것으로 추정된다.
이밖에 유출된 원전 문서 중 상당수는 최근에는 사용한 적이 없는 과거 문서인 것으로 확인됐다.
이에 대해 사건을 수사 중 개인정보범죄 정부합동수사단(단장 이정수 부장검사)도 한수원에 대한 사이버 공격 때 이메일 계정을 도용당한 퇴직자들의 PC가 사전에 해킹당했을 가능성이 있는 것으로 보고 수사 범위를 확대하고 있다.
합수단 측 관계자는 "모든 유출 자료가 퇴직자와 관련이 있는 것으로 보지는 않지만, 다수의 퇴직자 이메일이 대거 도용된 흔적이 확인된 만큼 모든 가능성을 열어 두고 수사하고 있다"고 말했다.
합수단은 지금까지 9일 한수원 퇴직자 명의의 이메일 계정에서 현직 직원들에게 다량의 악성 이메일이 발송된 사실과 유출 자료 공개 때 사용한 인터넷프로토콜(IP) 접속 기록이 북한과 인접한 중국 선양에 집중된다는 사실 등을 확인했다.
<저작권자 © 에너지경제 무단전재 및 재배포 금지>