지난해 말 '원전 가동중단 협박'으로 당국을 충격에 빠뜨린 데 이어 최근까지 범행이 끊이지 않았던 원전 자료 유출 사태가 북한 해커조직의 소행으로 판단된다는 수사 결과가 나왔다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 이와 같은 내용을 담은 한수원 사이버테러 사건 중간수사 결과를 발표했다.

합수단에 따르면 '원전 반대그룹'을 자칭한 범인은 작년 12월에 5차례, 그리고 지난 12일에 1차례 등 총 6차례에 걸쳐 원전 관련 도면 등을 인터넷과 사회관계망서비스(SNS)에 공개했다. 또 지난해 12월에는 원전 가동을 중단하지 않으면 자료 공개를 계속하겠다고 협박했으며 지난 12일에는 돈이 필요하다는 글을 남겼다.

합수단이 자료 유출 경로를 추적한 결과 원전 관련 도면 등 상당수 자료는 한수원 협력사 임직원의 이메일을 해킹하는 방식으로 유출됐다. 이메일에 악성 코드를 침투시켜 컴퓨터를 감염시킨 후 자료를 빼가는 피싱 수법이다. 유출 자료 중에는 한수원 협력사 대표 2명의 컴퓨터에서 빼돌려진 것도 있었다.

아울러　빼돌려진 자료는 교육용 등 일반 용도의 문서가 대부분이고 원전관리에 위험을 초래하거나 정책에 영향을 미칠 중요 자료는 아니라고 합수단은 설명했다.

이와 함께 합수단은 범인이 지난해 12월 9일 한수원 직원 3571명에게 악성코드가 담긴 이메일 5986통을 살포한 것으로 확인했지만 이때는 자료 유출이 없었던 것으로 파악했다. 다만 당시의 이메일 공격으로 한수원 내 컴퓨터 8대가 감염됐고 그중 5대의 하드디스크가 초기화됐다.

합수단은 이런 일련의 범행이 북한 해커조직의 소행이라고 판단했다. 12월 9일 이메일 공격에 사용된 악성코드는 북한 해커조직이 쓰는 악성코드 '킴수키(kimsuky)'와 구성·동작방식이 거의 유사하다는 점이 근거로 꼽혔다. 특히 범인은 자료 탈취와 이메일 공격, 자료 공개 등 범행을 저지르면서 IP 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스 업체 H사에서 할당받은 IP를 사용했는데 여기에서도 북한과의 연관성이 발견됐다.

합수단은 범인이 사용한 SNS의 서버가 있는 미국, 범행에 동원한 IP 접속 흔적이 있는 중국 등과 국제 사법공조를 전개해 해킹 세력의 실체와 배후를 파악할 계획이다.