로고

사회

퇴직자 명의 '○○도면입니다' 악성코드 이메일 뿌려

입력 2014-12-25 20:08 | 수정 2014-12-25 20:08 | 발행일 2014-12-25 제1면

'다음' 계정 통해 직원 수백명에게 300여개 악성코드 발송
합수단 "원전자료 게시 인물과 동일범 추정"…분석 작업 중

한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 지난 9일 한수원 퇴직자 명의의 이메일 계정에서 현직 직원들에게 다량의 악성 이메일이 발송된 사실을 확인했다고 25일 밝혔다.

    합수단 관계자는 "지난 9일 한수원 직원 수백명에게 악성코드를 심은 이메일이 발송됐는데, 발송자 이메일 명의가 제3자인 경우도 일부 있지만 대부분 한수원 퇴직자 수십명의 것이었다"고 말했다.

    이메일은 '○○ 도면입니다'라는 식의 제목을 달아 해당 업무를 맡은 한수원 직원이 주의하지 않는다면 열어보기 쉽도록 해 놓은 것으로 조사됐다.

    이메일에 심은 악성코드는 300여개에 이른다. 합수단은 이 악성코드가 한수원 업무 전산망에 퍼졌는지, 실행됐다면 어떤 영향을 미쳤는지 등을 분석 중이다. 악성코드는 감염된 컴퓨터에서 정보를 빼내거나 연계된 전산망을 무력화하는 기능 등을 할 수 있다.

    퇴직자 명의의 이메일은 국내 포털사이트 다음의 계정이 사용됐다.

    한수원 직원들은 업무용 내부 전산망을 사용할 때 다음 등 국내 포털사이트 이메일을 사용할 수 없지만 이런 이메일을 쓰는 퇴직자나 협력사 직원들과 이메일을 주고받을 수는 있다.

    악성코드가 심어진 것으로 알려진 한수원 직원 및 협력사 컴퓨터와 하드디스크 등은 이미 검찰로 넘겨져 분석 작업이 진행되고 있다. 해당 컴퓨터가 해커의 원격조종물로 이용되는 좀비PC처럼 변질됐는지도 점검 대상이다.

    합수단은 발송 이메일 명의자인 퇴직자들을 상대로 한 조사도 진행하고 있다. 하지만 이 퇴직자들은 자신의 명의를 도용당했을 가능성이 큰 것으로 합수단은 보고있다.

    지난 15일부터 5차례에 걸쳐 원전 도면 등 한수원 주요 유출자료를 인터넷과 트위터 등에 게시한 인물과 비슷한 수법으로 이메일이 발송됐기 때문이다.

    합수단 조사 결과 이메일 발송자는 인터넷 가상사설망(VPN) 서비스를 통해 할당받은 IP를 활용했고, 이 IP들은 중국 선양에서 접속된 흔적들이 나타났다.

    이메일 발송자 명의는 한수원 퇴직자들이지만 발송 당시 IP 접속지는 중국 선양으로 기록된 것이다.

    이는 자료 유출범 추정 인물이 추적을 회피하기 위한 방식과 유사하다.

    이메일을 발송할 때 사용한 VPN 서비스도 유출범 추정 인물이 글을 게시했을 때와 동일한 업체 3곳의 서비스를 활용한 것으로 나타났다.

    합수단 관계자는 "원전 유출 자료를 공개한 인물과 한수원 직원들에게 이메일을 보낸 인물은 100% 단정할 수 없지만 동일인 내지 동일 그룹으로 추정할 만한 정황이 있다"고 말했다.

    실제로 이메일 발송에 사용된 IP와 유출 자료가 담긴 글을 올리는 데 활용한 IP를 비교한 결과, 12개의 숫자 중 끝자리 하나만 다르게 나오는 등 상당한 유사점이 있다는 사실을 확인했다.

    원전 도면 등을 유출해 게시한 인물이 지난 23일 5번째로 올린 글에 "12월9일을 역사에 남도록 할 것이다"라고 적었던 점도 이런 추정을 뒷받침한다.

    합수단은 한수원 퇴직자의 이메일 명의가 도용된 과정과 범인의 자료 유출 행위가 연계돼 있을 가능성에 주목하고 있다.

    실제로 원전 도면을 공개한 글 중에는 한수원 직원 명단 파일도 포함돼 있는 등 범인 추정 인물이 지난 수년간 한수원 직원들의 인사이동이나 개인 신상정보를 빼돌려 왔을 가능성이 있기 때문이다.

    몇년 전에도 지난 9일처럼 악성코드를 심은 이메일을 보내 한수원 직원이 열어 보도록 한 뒤 감염된 컴퓨터에서 인사 자료 등을 빼냈을 가능성을 배제할 수 없는 셈이다.

    원전 도면 등 유출 자료 중에도 작성시기 등에 비춰 지난해나 재작년에 빼돌려진 것으로 추정되는 것들이 있기 때문에 합수단은 수년 전부터 범인이 치밀한 계획하에 범죄를 저질렀을 가능성을 염두에 두고 있다.

    합수단은 악성코드가 심어진 이메일 발송과 원전 유출자료 유포 과정에서 쓰인 다량의 중국 선양발 IP를 추적하기 위해 현지 사법당국과 공조수사 절차를 밟고 있다. 합수단은 중국 측에 선양발 IP 20∼30개를 특정해 전달했다.

    범인이 중국에서 접속한 IP 역시 현지 VPN 서비스를 통해 '세탁'한 것이라면 이를 추적하기 위해 중국 내 VPN 서비스를 제공하는 현지 통신회사들로부터 자료를 확보할 필요가 있고, 이를 위해서도 공조수사가 요구된다고 합수단은 설명했다.

    합수단 관계자는 "중국에서 VPN 서비스를 제공하는 통신사들은 중국 회사"라며 "북한 측에서 지분투자를 했는지는 아직 알 수 없다"고 언급했다.

    이 관계자는 "북한과 이번 사건의 연계 가능성은 단정할 수도 부인할 수도 없는 상태"라고 덧붙였다.연합뉴스