[단독]“原電 해커, 자료 11월 이전 확보해놓고 소니 해킹 불거지자 서둘러 유포한 정황”

檢 “北의 관심돌리기 의도 가능성”

“안심하세요” 원전 주민들 만난 산업장관 25일 부산 기장군 고리원자력발전소 홍보관에서 윤상직 산업통상자원부 장관(왼쪽에서 두 번째)이 원전 인근 지역 주민들에게 사이버 테러에 대한 대응 상황을 설명하고 있다. 산업통상자원부 제공

‘원자력발전소 해커’가 한국수력원자력 내부 자료를 이미 오래전에 확보해 두고도 이를 최근에야 무언가에 쫓기듯 유포한 정황이 25일 확인됐다. 검찰은 소니픽처스 해킹의 배후로 지목된 북한에 대해 미국의 보복 위협이 불거진 시점에 원전 해커가 한수원 자료를 공개한 점을 감안해 원전 해킹에 북한이 연계됐을 가능성에 초점을 두고 수사하고 있다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)에 따르면 해커는 9일 한수원 직원들에게 e메일로 악성코드를 보낼 때 ‘후쿠시마 대책 보고서’ 등 기존에 확보해 둔 한수원 내부 자료(한글 파일)들을 ‘포장지’처럼 활용했다. 이때 악성코드 발송에 활용된 인터넷주소(IP주소)의 위치는 15일 이후 자칭 ‘원전반대그룹’이 한수원 자료를 유포하는 데 활용한 IP주소와 같은 중국 선양(瀋陽)인 것으로 확인됐다.

합수단이 ‘후쿠시마 대책 보고서’ 등의 메타데이터(문서의 작성자와 작성 시기 등이 담긴 정보)를 분석해 보니 해커가 자신의 PC에서 마지막으로 자료를 열어본 시점은 지난달 28일로 확인됐다. 해커가 PC 시계를 일부러 조작하지 않았다면 해당 자료는 적어도 지난달 이전에 유출됐다는 뜻이다.

▼ “해커, 한수원 퇴직자 e메일로 악성코드 유포” ▼

靑 “원전 가동중단 가능성 없어”

악성코드 발송에 한수원 퇴직자 수십 명의 개인 e메일 계정이 도용된 점도 해커가 오래전에 직원 개인정보 등 내부 자료를 확보해 뒀다는 추리를 뒷받침한다.

하지만 해커가 악성코드를 만든 뒤 이를 한수원 직원들에게 보내는 데에는 하루가 채 걸리지 않았다. 직접 악성코드를 분석한 한 보안전문가에 따르면 이 악성코드는 8일 오후 4시경 제작된 뒤 22시간 만인 다음 날 오후 2시경 한수원 직원들에게 발송됐다. 소니픽처스를 지난달 25일 해킹한 세력으로 북한이 지목되고 ‘보복 공격’ 가능성이 불거지자 북한 측이 관심을 돌리기 위해 기존에 확보해 뒀던 원전 자료를 서둘러 공개했을 가능성이 제기되는 대목이다.

또 다른 보안전문가는 “악성코드의 발견을 막기 위해 심어진 ‘난독화 기술’이 북한이 평소 사용하는 것과 유사하다”고 전했다. 해커가 악성코드를 제작한 PC의 사용자 이름도 북한이 사이버 공작에 종종 사용하는 필명과 동일한 ‘John’이었던 것으로 알려졌다.

해커가 원전을 멈추라고 요구했던 25일 국내 원전에는 별다른 이상 징후가 나타나지 않았다. 원자력안전기술원 홈페이지가 24일 저녁 한때 작동되지 않았지만 한수원이 보안을 위해 연결을 끊은 것으로 확인됐다. 한수원과 관계 부처는 27일까지 24시간 비상근무 체제를 유지할 예정이다.

청와대 국가안보실은 25일 ‘국가 사이버안보위기 평가회의’에서 “사이버공격에 의한 원전 가동 중단이나 위험한 상황이 초래될 가능성은 없는 것으로 평가된다”고 밝혔다.

조건희 becom@donga.com·변종국·이상훈 기자