검찰 “한수원 원전도면 유출 IP 중국 선양에 집중”

중국·미국과 수사공조…경찰청 사이버안전국과도 협조
북한 관련성 아직 결론내리기 어려워

한국수력원자력 원전 도면 유출 사건의 범인으로 추정되는 인물이 사용한 IP가 중국 선양에 집중된 것으로 확인됐다.

이번 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 범인 추정 인물이 활용한 인터넷 가상사설망(VPN) 서비스 업체 3곳으로부터 확보한 자료를 분석한 결과 이 같은 사실을 파악하고 중국과의 공조 수사에 나섰다고 24일 밝혔다.

합수단에 따르면 지난 15일 범인 추정 인물이 VPN 업체로부터 할당받은 IP 중 20∼30개는 중국에서 접속됐다. 접속 횟수는 200여차례인데, 거의 모든 접속지가 중국 선양인 것으로 확인됐다.

이에 따라 합수단은 해당 IP를 추적하기 위해 중국 당국과 사법공조 절차를 밟고 있다. 중국과는 올해 4월 수사공조 협정이 체결됐으며 대검과 법무부를 거쳐 중국 측에 공조 요청을 전달하는 절차를 밟고 있다고 합수단 관계자는 전했다.

합수단은 이 인물이 사이버 공간에 남긴 IP 접속 흔적이 북한과 인접한 중국 랴오닝성의 성도(省都)인 선양에서 집중적으로 발견된 점에 주목하고 있다.

합수단 관계자는 “현재는 수사 초기 단계여서 북한과의 관계는 확인한 바 없다”면서도 “북한과 관련성은 단정할 수도, 부인할 수도 없다”고 말했다.

물론 북한과 연계된 듯한 단서를 남겨 추적에 혼선을 일으키기 위해 일부러 선양을 IP 경유지로 활용했을 가능성도 남아 있다.

이 관계자는 “중국 내 IP가 확인됐지만 그 곳이 최종 종착지가 아닐 수도 있다”고 말했다. 다른 지역에서 중국 IP를 도용했을 가능성도 있다는 얘기다.

VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해 준다.

H사 등 3곳은 범인 추정 인물이 원전 도면 등 유출 자료를 담은 인터넷 블로그 글을 게시할 때 해당 IP를 할당해 준 업체다. 사이버 범죄를 저지를 의도로 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 ‘세탁 IP’로 볼 수 있다.

범인 추정 인물은 VPN 서비스 가입자의 명의를 도용한 것으로 파악됐다. 2년 전부터 이 서비스에 가입해 있던 누군가의 명의를 훔쳐 서비스를 제공받은 것으로 나타났다. 명의 도용 피해자는 서울에 거주 중인 것으로 확인됐다.

VPN 서비스 이용료 역시 누군가로부터 탈취한 인터넷뱅킹 공인인증서를 활용, 국내 은행지점에 개설된 다른 사람의 계좌에서 빠져나가도록 해 놓은 것으로 조사됐다. 주도면밀한 범행이 이뤄졌음을 시사하는 대목이다.

이 인물이 지난 21일과 23일에 게시글을 올린 트위터 계정도 도용됐을 가능성이 큰 것으로 합수단은 판단하고 있다.

범인 추정 인물은 전날 원전 도면 등을 담은 5번째 게시글을 사회관계망 서비스인 트위터에 올렸다. 클릭하면 다른 주소로 연결돼 또 다른 자료를 볼 수 있도록 인터넷 링크를 걸어 놓기도 했다. 인터넷 링크에는 페이스트빈이라는 프로그램이 활용됐다.

트위터와 페이스트빈은 미국에 서버를 두고 있기 때문에 합수단은 미국 연방수사국(FBI)에 공조수사를 요청했고, 인터넷 링크로 연결된 자료를 FBI로부터 제공받아 분석 중이다.

합수단은 추가 피해 예방과 범인 검거를 위해 경찰청 사이버안전국과도 협조하기로 했다.

합수단 관계자는 “이번 사건이 조직적 범행인지는 아직 단정할 수 없지만 다수의 IP가 동원된 것으로 봐서 한 사람이 한 것으로 보이지 않는다”고 말했다.