[뉴스토마토 한광범기자] 한국수력원자력 원전 도면 해킹과 관련해, 지난 12월9일 한수원 직원들에게 보내진 악성코드 메일이 5980건이었던 것으로 드러났다.

 

중복 수령을 제할 경우 이메일을 받은 직원은 3571명으로 전체 한수원 직원(9500여명)의 3분의 1 이상이다. 그러나 해당 악성코드에는 '문서 유출' 기능은 없는 것으로 확인돼, 도면 등 SNS를 통해 공개된 원전자료 등의 유출 경로는 여전히 오리무중이다.

 

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장) 관계자는 28일 "악성코드 한글 파일이 첨부된 이메일이 지난9일 새벽 5시부터 오후 3시경까지 5980건이 한수원 직원들에게 발송됐다. 10~12일에도 6건이 발송됐다"고 밝혔다.

 

합수단은 민간 보안업체인 안랩과 대검 디지털포렌식센터(DFC)의 교차분석을 통해 해당 악성코드에 ▲컴퓨터 내 파일 파괴 ▲트래픽 유도를 위한 네트워크 패킷 발생 ▲PC 하드디스크 파괴 기능이 있다는 것을 발견했다고 전했다.

 

검찰 관계자는 이 중에서 가장 문제가 되는 기능이 '하드디스크 파괴 기능'이라며, 악성코드의 작동 시간이 '12월 10일 오전 11시'로 설정돼 있었다고 밝혔다.

 

지난 10~12일에 온 6건의 메일의 경우, 이 '작동 시간'이 지난 후 메일이 도착했다. 합수단 관계자는 "6건의 메일이 왜 뒤늦게 온지는 아직 확인되지 않고 있다"고 말했다.

 

합수단은 한수원이 해당 이메일 대량 발송 사실을 확인한 뒤, 사내의 신속한 조치로 직원 PC 4대를 제외하고 해당 메일이 전부 삭제 조치됐다고 밝혔다. 악성코드에 오염된 PC 4대는 업무용 3대와 외부용 1대다.

 

합수단은 이메일이 발송과 관련된 IP 중 중국 선양(瀋陽) IP주소가 발견된 것 관련해 "선양이 실행지인지 경유지인지를 파악하는 데는 시간이 좀 걸릴 것 같다"며 "수사 공조에 대해 수사팀에 전달된 중국 측 답변은 없다"고 밝혔다.

 

또 해당 IP주소와 미국 소니 영화사 해킹 IP와의 유사성을 검토하기 위해 미국 FBI(연방수사국)에 공조를 요청하는 방안도 검토 중이다. 앞서 FBI는 소니 영화사에 대한 해킹 공격을 북한 소행으로 발표한 바 있다.

 

합수단은 해당 악성코드에는 문서 유출 기능은 없는 것을 확인했다고 밝혀, 원전 도면의 유출 경로에 대한 수사는 아직 오리무중임을 밝혔다. 현재 합수단이 짐작하는 도면 유출 유형은 ▲한수원 본사 해킹 ▲이메일 악성코드 ▲내부자 공모 등 크게 세 가지다.

 

합수단 관계자는 '한수원 본사 해킹' 가능성에 대해 "고도의 전문가만이 할 수 있다. 이건 한수원 시스템의 방어벽 때문에 상당히 어렵다"고 설명했다.

 

이어 '이메일 악성 코드' 방식에 대해선 "한수원 직원들이 동료 직원이나 외주업체 혹은 퇴직자들과 관련 문서를 주고받는 과정에서, 악성코드로 탈취됐을 수도 있다"고 밝혔다.

 

또 '내부자 공모 유형'에 대해선 "직원이 1만 명에 가까워 특정하기 어렵다"면서도 "도면 관련 업무 직원들 등으로 악송코드 유무 등을 계속 진행하고 있다"고 전했다.

 

이 관계자는 "현재 협박범을 잡는데 주력하고 있다. 유출과 관련해선 아직 수사가 깊게 들어가지 않았다"며 "지금 상황에서 어느 유출 방식이 확률이 높다고 말하는 건 어렵다"고 강조했다.

 

합수단은 아울러 10월에 있던 일부 기관에 대한 해킹 공격과 이번 해킹 공격이 동일범 소행일 수 있다는 한 언론의 보도에 대해 조심스러운 반응을 보였다. 합수단 관계자는 "악성코드에는 수많은 문자열이 있다. 이 중 3개가 같다고 해서 동일범이라고 단정하긴 어렵다"고 말했다.

 

또 다른 언론이 '해킹 공격이 실패했다고 합수단이 결론지었다'고 보도한 것에 대해서도 "현재까지 결론 내린 바 없다"고 부인했다. 합수단 관계자는 "PC 4대 파괴라는 결과만 보면 그 자체는 실패한 측면이 있다"면서도 "수사 초기 단계에서 범인의 계획을 단정할 수 없어 추가 공격이 없을 거라 보장할 수 없다"고 밝혔다.