한국수력원자력의 원전 도면 유출의 배후가 북한이라는 가능성에 점차 무게가 실리고 있다.

한국수력원자력의 원전 도면 등 주요 자료가 유출된 사건에 대한 수사가 속도를 내면서 북한과의 연계설과 조직적 범행 가능성을 연상시키는 범죄 정황이 속속 포착되고 있다.

고도의 사이버 범죄는 통상 매우 복잡한 경로를 거치는 만큼 미리부터 범죄 유형을 예단하기 어렵지만 지금까지 드러난 정황만으로 보면 이 두 가지 가능성이 당분간 수사의 초점이 될 가능성이 커 보인다.

이 사건을 수사 중인 개인정보범죄 정부합동수사단은 범인 추정 인물이 사용한 IP 접속 기록이 중국 선양에 집중된 사실을 확인했다. 이 인물은 지난 15일부터 5차례에 걸쳐 인터넷 블로그와 트위터 등에 원전 도면 등 유출 자료와 한수원을 조롱하는 글을 올렸다.

그는 게시된 글의 IP 소재지 추적을 피하기 위해 국내 인터넷 가상사설망(VPN) 업체에서 할당받은 다수의 IP를 사용했다. 그러나 해당 IP는 중국 선양에서 접속한 IP들이 20∼30개 발견됐다. 접속 횟수로 치면 200여차례나 된다.

이에 합수단은 범행에 쓰인 중국발 IP 중에서 다른 지역에서 접속한 것은 거의 없고 선양에서만 다량 발견된 사실에 주목하고 있다. 선양은 북한과 인접한 랴오닝성의 성도라는 점에서 북한 연계설이 부상하고 있다.

또 북한 배후설을 뒷받침하는 다른 정황도 발견됐다. 범인 추정 인물이 지난 21일 트위터에 올린 글에는 시치미를 떼다는 뜻인 '아닌 보살'이라는 글귀가 등장하는데, 이는 주로 북한에서 쓰는 표현이다.

다만 범인이 일부러 북한을 연상케 하는 범죄 흔적을 남겨 수사팀의 혼선을 유도하려는 의도도 있다.

합수단은 아직 수사 초기 단계인 만큼 두 가지 가능성 모두를 열어 놓고 범인을 추적하는 한편, 중국 등과의 국제 사법공조 체계를 활용해 수사망을 좁혀가고 있다.