개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 악성코드가 포함된 다량의 이메일이 지난 9일 한국수력원자력 직원 수백명에게 발송된 사실을 확인했다고 25일 밝혔다.

▲ /자료사진=뉴시스

당시 발송된 이메일은 업무상 필요한 도면이 포함된 것처럼 착각할 수 있는 제목이 적혀 있었으며 첨부파일에는 각종 악성코드가 심어져 있었던 것으로 드러났다.

합수단은 한수원 직원들이 받은 이 이메일에서 300여종의 악성코드를 발견, 여기에는 파일 유출·파일 삭제·원격제어 등이 가능토록 하는 악성코드가 포함된 것으로 알려졌다.

한수원 직원들의 컴퓨터 하드디스크 등을 임의제출 받은 합수단은 이 악성코드가 설치된 사실이 있는지, 이를 통해 자료가 유출된 것은 아닌지 등을 면밀하게 살펴보고 있다.

이와 함께 이 악성코드가 실제 원전을 중단시킬 수 있는지 여부도 조사 중이다.

합수단은 한수원 퇴직자 수십명의 개인 이메일 계정에서 이 같은 악성코드 이메일이 발송된 사실을 포착하고 조사 중이다.

이들이 발송한 이메일의 인터넷 주소(IP)를 추적한 결과 다른 악성코드 이메일과 마찬가지로 중국 선양 지역에 집중된 점을 확인한 합수단은 이들의 명의 역시 도용당했을 가능성에 무게를 두고 있다.

합수단은 원전 자료 유출자로 추정되는 인물의 IP를 추적한 결과 20~30여 IP가 지난 15일 하루 동안 중국 선양에서 200여 차례 이상 집중적으로 접속한 사실을 확인한 바 있다.

이날 해킹 조직으로 추정되는 원전반대그룹(WHO AM I)이 트위터와 인터넷 블로그 등을 통해 한수원의 원전 관련 자료를 처음으로 공개하며 협박 게시물을 올린 날이기도 하다.

이에 합수단은 악성코드 이메일을 보낸 조직(인물)이 이 사건 유출자로 추정되는 조직(인물)과 동일한 주체일 것으로 의심하고 있다.

실제 악성코드 이메일 유포 IP와 협박 게시물을 올린 IP가 중국 선양에 집중적으로 몰려있고, IP번호가 서로 근접하다는 사실이 발견됐다.

지난 23일 다섯 번째로 올라온 협박 게시물에는 악성코드 이메일이 발송된 지난 9일을 두고 "역사에 남는 날이 될 것"이라고 언급하기도 했다.

합수단은 IP 접속자의 위치를 확인하기 위해 중국 당국과 형사사법공조 절차에 착수했다.

이를 통해 중국 선양 통신사를 이용해 IP를 접속한 것인지, 아니면 중국 통신사를 우회해 또 다른 장소에서 접속한 것인지 여부를 확인할 예정이다.

합수단 관계자는 "공개된 자료가 1~2년 전의 자료인 점, 수십여개의 IP를 사용해 우회 접근하고 퇴직자의 이메일까지 도용한 점 등을 고려하면 상당히 오랜 기간 준비해 온 것으로 보인다. 모든 가능성을 열어두고 수사하고 있다"고 말했다. [미디어펜=류용환 기자]