개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 "한수원 사이버테러 사건은 국가 인프라 시설을 해킹해 사회불안을 야기하기 위한 목적으로 이뤄진 북한의 소행"이라고 중간수사 결과를 발표했다.
검찰은 우선 이번 해킹이 한수원 직원 3,571명의 e메일 계정으로 악성코드가 첨부된 메일 5,968통을 보내면서 시작됐다고 파악했다. 한수원 협력회사 직원이나 퇴직자에게는 피싱메일을 보내 e메일 비밀번호를 수집해 계정에서 자료를 빼냈다.
합수단은 이 과정에서 사용된 IP주소나 악성코드가 북한 해커조직이 주로 사용하는 것과 유사하다고 봤다. 우선 협박글을 게시한 이들은 국내 IP주소처럼 보이기 위해 한국의 가상사설망(VPN) 업체를 통해 국내 포털사에 접속했는데 추적한 결과 실제 접속 지역은 중국 선양으로 국내에 알려진 북한 계열 악성코드 IP주소와 12자리 숫자 중 9자리가 일치한다는 것이 합수단의 설명이다. 검찰은 또 해당 VPN 업체 접속 IP 내역을 파악한 결과 북한 IP주소 25개와 북한 체신성 산하 통신회사인 KPTC의 IP주소 5개를 확인했다.
e메일에 들어 있던 악성코드도 북한 해커조직이 사용하는 것으로 알려진 'kimsuky(김수키)'와 유사한 것으로 확인됐다. '김수키'는 러시아 보안회사인 카스퍼스키가 지난 2013년 북한에서 만들어진 것으로 파악된 악성코드다. 이번 악성코드는 PC 내 메모장에 악성 실행코드를 삽입하는 동작방식이나 실행코드의 함수나 명령어 구조가 '김수키'와 일치한다고 검찰은 밝혔다. 검찰은 다만 이번에 공개된 자료가 중요정보는 아니며 유출은 한수원 내부가 아닌 주로 협력업체에서 이뤄졌다고 발표했다.
한편 '원전반대그룹'을 자칭한 범인은 지난해 말부터 이달까지 총 6차례에 걸쳐 원전 관련 도면 등을 인터넷과 소셜네트워크서비스(SNS)에 공개했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >