‘원전 도면 유출’ 한수원 퇴직자 명의 ‘악성파일’ 담긴 이메일 대량 발송

퇴직자 명의도용 가능성…합수단, 이메일 발송자와 유출 범인 동일성 추정

한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 한수원 퇴직자 명의의 이메일 계정에서 악성코드가 담긴 이메일이 대량 발송된 것을 확인하고 분석에 나섰다.

합수단 관계자는 25일 “지난 9일 한수원 직원 수백명에게 악성코드를 심은 이메일이 발송됐는데, 발송자 이메일 명의 중 상당수 한수원 퇴직자들이 포함돼 있다”며 “이메일 가운데는 업무와 관련이 있는 것처럼 보이는 제목으로 보내진 것도 있었다”고 말했다.

당시 한수원 직원들이 받은 이메일에는 첨부된 한글 파일을 통해 악성코드에 감염된 것으로 조사됐다.

합수단은 300여개에 이르는 악성코드 분석 작업에 주력하고 있다.

합수단은 발송된 이메일 명의자 가운데 확인된 퇴직자들을 상대로 조사를 벌이고 있다.

하지만 지난 15일부터 5차례에 걸쳐 원전 도면 등 주요 유출 자료를 인터넷과 트위터 등에 게시한 인물과 비슷한 수법으로 발송된 점을 볼 때 명의를 도용당했을 가능성이 큰 것으로 판단하고 있다.

합수단 조사 결과 이메일 발송자는 인터넷 가상사설망(VPN) 서비스를 통해 할당받은 IP를 활용했고, 이 IP들은 중국 선양에서 접속된 흔적들이 나타났다.

합수단은 여러 정황으로 볼 때 9일 악성 이메일을 유포한 자와 원전 도면 등 유출 자료를 온라인상에 유포한 범인으로 추정되는 인물이 동일인이나 동일그룹일 가능성이 크다고 보고 있다.

이 관계자는 “현재 100% 맞다고 단정할 수는 없지만, 유사성이 있다고 추정할 수 있는 정황은 있다”며 “5번째 협박 게시글에서 나타난 ‘12월 9일 역사에 남도록 할 것이다’라는 문구와 현재까지의 IP가 중국 선양에서 접속한 것을 볼 때 상당히 동일인이나 동일그룹이라는 정황이 있다고 본다”고 설명했다.

합수단은 이메일 발송에 사용된 IP와 유출 자료가 담긴 글을 올리는 데 활용한 IP를 비교한 결과, 12개의 일련번호 중 끝자리 하나만 다르게 나오는 등 상당한 유사점이 있다는 사실을 확인했다.

합수단은 해당 IP를 추적하기 위해 중국 당국과 사법공조 절차를 밟고 있다.

합수단은 이 인물이 사이버 공간에 남긴 IP 접속 흔적이 북한과 인접한 선양에서 집중적으로 발견된 점에 주목하고 있다.

이에 따라 일각에선 북한과의 연계설이나 조직적 범행 가능성이 제기되고 있다.

이 관계자는 “지금 수사 초기 단계로 북한 관련성이 확인된 바 없다는 것이 기본 입장이며 부연 설명하면 단정할 수도 부인할 수도 없는 상황”이라고 전했다.

북한과 연계된 듯한 단서를 남겨 추적에 혼선을 일으키기 위해 일부러 선양을 IP 경유지로 활용했을 가능성도 남아 있다.

앞서 유출범은 지난 15~23일 5차례에 걸쳐 한수원 내부 자료를 공개하면서 고리 1-3호기, 월성 2호기 등 3기의 원전을 가동 중지하라고 협박했다.