해킹 이틀後 내부 PC 4대 고장… 보안 기밀문건 줄줄이 샜을수도
美·日 인터넷 주소도 이용 확인
합수부 "해커, 北서 쓰는 말 사용"
앞서 지난 15일부터 '원전반대그룹 회장'이라고 자신을 밝힌 범인은 "한수원 데이터센터를 해킹했다"며 원전 도면과 발전소 내부 프로그램 사진 등을 네 차례에 걸쳐 네이버 블로그, 트위터 등으로 공개했다. 합수단은 범인이 남긴 글에서 '청와대, 아직도 아닌 보살'이라는 표현을 사용한 것에 주목, 북한 연관성도 배제하지 않고 있다. '아닌 보살'은 '시치미를 뗀다'는 뜻으로 북한에서 주로 쓰는 용어다.
합수단은 현재 범인이 미국에 본사를 둔 트위터에 글을 올린 인터넷 주소(IP) 추적을 위해 미국 FBI(연방수사국)에 사법 공조를 요청하는 한편 네이트나 네이버 등 국내 포털에 범인이 올린 글을 토대로 역추적하고 있다. IP는 '123.456.789.xx2'의 형태로 이뤄진 일종의 '주소'로 국가별로 할당된 범위가 다르기 때문에 IP를 확인하면 글을 작성한 나라를 알 수 있고, 인터넷 서비스 제공 업체의 협조를 받으면 가입자의 정보도 확인할 수 있다. 그러나 문제는 범인이 여러 곳의 IP를 경유해 글을 올렸기 때문에 범인이 최초로 쓴 IP를 확인하기 어렵다는 데 있다.
실제로 합수단은 범인이 상당수의 국내 IP와 더불어 일본·미국의 IP도 사용한 것을 확인했다. 합수단 관계자는 "범인이 국내외의 가상사설망(VPN)이나 다량의 좀비 PC를 이용하는 등 자신의 위치를 숨기기 위해 수많은 IP를 경유해 글을 올렸을 가능성이 크다"고 말했다. VPN은 자신이 쓰는 특정 IP를 다른 IP로 인식하게끔 하는 역할을 하고, 좀비 PC는 바이러스에 감염된 PC로 해커가 마음대로 조종이 가능해 서버를 공격하거나 IP를 우회하는 데 쓰인다. 복잡한 해킹 사건에서는 두 가지 방법이 모두 이용된다.
합수단은 범인이 올린 글을 토대로 범인을 추적하는 한편 원전 설계도가 유출된 고리·월성원전 직원들의 컴퓨터를 임의 제출받아 범인의 흔적을 찾고 있다. 합수단은 또 한수원 내부에서 자료가 유출됐을 가능성에 대비해 담당 직원들을 상대로도 조사를 벌였다.
 |
월성原電사이버 공격 대비 훈련 - 22일 오후 경북 경주시 월성원자력발전소 주제어실에서 한국수력원자력 직원들이 사이버 공격에 대비한 훈련을 하며 발전소 상황 제어반을 유심히 살피고 있다. 최근 발생한 원전 1호기 도면 유출 사건 때문에 실시한 이번 훈련은 23일까지 계속된다. /김종호 기자 |
한편 박상형 한국수력원자력 사이버보안팀장은 이날 정부 세종청사에서 가진 브리핑에서 "(원전 기밀 문건을 유출한 것으로 추정되는 해커로부터) 지난 9일 이메일 해킹 공격을 받은 한수원에서 이틀 후 컴퓨터 4대가 다운된 사실이 확인됐다"고 밝혔다. 한수원은 그동안 9일해킹 공격 이후 적절한 조치를 해 피해를 본 PC가 없다고 밝혔다가 뒤늦게 피해 사실을 인정한 것이다.
만일 이 컴퓨터들이 해킹 공격으로 악성 코드에 감염된 것이라면 한수원의 상당수 기밀이 줄줄이 유출됐을 가능성이 크다는 것이 정보전문가들의 진단이다. 특히 이번에고장 난 PC 중 3대는 한수원의 보안 사항을 다루는 내부망에 연결된PC로 확인됐다. 하지만 한수원 측은 해킹 공격 후 고장 난 PC에 대해 열흘이 넘도록 악성 코드에 감염된 것인지조차 파악하지 못하고 있다.
[김승범 기자]
- Copyrights ⓒ 조선일보 & chosun.com, 무단 전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
