한국수력원자력의 원전 자료 유출 사건과 관련, 해킹에 사용된 인터넷프로토콜(IP) 접속 기록이 중국 랴오닝성 선양에 집중된 것으로 알려짐에 따라 이 지역과 북한의 연계 가능성에 관심이 주목되고 있다.

북한이 총영사관을 둔 선양을 비롯한 중국 동북지역은 10년 전부터 북한의 '해외 사이버 거점'으로 지목, 국내에서 사이버 테러가 발생할 때마다 주목을 받아왔다.

정부 합동수사단은 24일 이번 사건의 범인 추정 인물이 인터넷 가상사설망(VPN) 업체로부터 할당받은 IP 가운데 20~30개가 중국에서 접속됐고 거의 모든 접속지가 선양인 것으로 확인됐다고 발표했다.

그러나 현재로선 수사에 혼선을 줄 목적으로 일부러 북한과 연계된 듯한 단서를 남기려고 선양을 단순한 IP 경유지로 활용했을 가능성도 있어 북한과의 관련성을 단정할 수 없는 상태다.

고도로 훈련된 북한의 IT 인력들은 외화벌이를 목적으로 2004년을 전후해 북한 접경인 랴오닝성 단둥과 선양, 다롄 등 중국 동북지역에 대거 진출했다. 북한은 당시 중국 진출 초기에 중국이나 한국 기업들과 합작해 수십개의 소규모 IT업체를 세웠다.

북한 IT 인력의 기술력은 한동안 국내 기업들도 업무용 소프트웨어나 게임 개발을 다수 의뢰했을 만큼 상당한 수준을 갖춘 것으로 전해졌다.

중국 동북 지방에 수백명에 달했던 북한 IT 인력은 2008년 금융 위기 발발과 2010년 정부의 '5·24 조치'에 따른 남북 교류 중단 등으로 일감이 줄면서 상당수 업체가 문을 닫고 본국으로 철수했다. 현재는 예전보다 규모는 많이 줄었지만 북한의 IT 인력들이 여전히 현지 중국 기업에 취업해 소프트웨어 개발과 애니메이션 제작 등을 담당하고 있는 것으로 알려졌다.

대북 전문가들은 중국 기업에 고용된 북한 IT 인력의 규모는 줄었지만 중국에 나와 있는 북한 각 기관의 대표부와 대외 인터넷사이트 관리기구, 무역 업체들에도 IT 전문인력이 상당수 포진해 마음만 먹으면 얼마든지 해킹 공격을 감행할 능력을 갖춘 것으로 보고 있다.

중국에 서버를 둔 북한의 대외 인터넷사이트인 '우리민족끼리', '우리민족강당', '류경'의 도메인 관리자 주소지는 선양이고 '조선의오늘'은 단둥으로 등록돼 있다.

1980년대 후반부터 사이버전에 대비해 IT 인력을 집중 양성한 북한은 2012년 8월 김정은 국방위원회 제1위원장의 지시 이후 전략사이버사령부를 창설, 사이버전 수행과 관련한 인력이 5900여 명에 달하는 것으로 알려졌다.