한수원 이메일 공격 하루 5980통…3가지 기능 악성코드 담겨

직원 3571명에 발송…10일 오전 11시 실행 설정

한전수력원자력 원전 도면 등 유출 사건과 관련해 악성코드가 포함돼 발송된 이메일이 약 6000여건에 이르는 것으로 확인됐다.

원전 도면 유출 등의 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 악성코드 이메일 5980통이 지난 9일 오전 5시∼오후 3시 사이 집중적으로 발송된 사실을 확인했다고 28일 밝혔다.

이 외에도 10~12일까지 사흘간 발송된 6통의 추가 이메일까지 포함하면 전체 5986통의 이메일이 한수원 직원 3571명에게 보내진 것으로 나타났다.

중복 아이디를 제외하면 9일부터 한수원 전체 직원 9500여명 가운데 3분의 1에 해당하는 직원에게 광범위하게 뿌려진 셈이다.

합수단은 직원에게 보내진 이메일에 3가지 기능의 악성코드가 담긴 것으로 파악했다.

합수단은 대검 디지털포렌식센터와 외부 업체를 통한 교차 분석으로 확인한 결과 파일 파괴, 네트워크 패킷 발생(트래픽 유발), 디스크 파괴 기능이 갖춰져 있다고 설명했다.

다만 악성코드를 심은 첨부파일에 자료의 유출이나 탈취 기능은 없는 것으로 보고 있다.

한편 악성코드가 담긴 이메일의 파괴기능은 10일 오전 11시에 실행되도록 설정돼 있었으며 10일 이후 발송된 6통의 이메일 또한 같은 시간에 실행되도록 맞춰져 있는 것으로 조사됐다.

다만 합수단은 10일 오전 11시에 실행하도록 맞춰진 메일 6통이 뒤늦게 발송된 부분에 대해서는 명확한 원인을 확인하고 있다.

한수원은 9일 대량의 악성코드 이메일이 들어오자 대부분의 메일을 삭제했지만, 일부 직원이 파일을 열어본 컴퓨터는 디스크가 파괴됐다.

악성코드 파일을 발송한 이메일 계정은 모두 211개로, 이 중 55개가 한수원 퇴직자 명의로 포털사이트 다음의 한메일과 구글의 지메일, MSN의 핫메일 등의 계정이 도용된 것으로 드러났다.

한편 합수단은 범행이 실패한 것으로 볼 수 있지 않느냐는 질문에 대해 “9일 이메일 공격만 보면 한수원에서 당일 발견해 빠르게 조치해서 업무 시스템이 정상적으로 작동했다는 점에서 실패한 것으로 볼 수 있다”면서도 “수사 초기 단계에서 범인의 전체 계획을 모르는 상태에서 실패라고 섣불리 판단할 수 없고 추가적인 공격이 없을 것이라고 단정하기 어렵다“며 신중한 입장을 보였다.

합수단은 디스크가 파괴된 4대의 컴퓨터를 임의제출 형식으로 넘겨받아 분석하고 있다.