原電기밀 ‘줄줄’… 정부는 ‘깜깜’

해커 또 도면 공개 “10만장 올릴것”… 정부, 유출규모-경로 등 파악못해
협박 메시지에 北표현 ‘아닌 보살’… 합수단 “北 소행 가능성” IP 추적

사이버망 뚫린 원전, 정문 검문만 강화 원자력발전소에 대한 해킹으로 원전 안전에 대한 국민의 불안감이 커지고 있지만 한국수력원자력은 유출 경로 등도 제대로 파악하지 못해 호된 비판을 받고 있다. 21일 한수원 고리원전 정문에서 직원들이 원전에 들어가는 차량을 검문하고 있다. 기장=서영수 기자 kuki@donga.com

국내 원자력발전소의 도면, 매뉴얼 등 유출된 원전 관련 기밀자료가 인터넷을 통해 공개된 지 6일이 지났는데도 운영기관인 한국수력원자력과 정부가 유출 규모와 경로 등 기본적인 사실조차 파악하지 못하고 있어 국민들의 불안감이 날로 커지고 있다. ‘원전 해커’가 북한식 표현을 일부 썼다는 점, 해킹에 이용된 악성코드가 과거 북한이 저지른 해킹 때 쓰인 것과 유사하다는 점 때문에 북한이나 종북단체의 소행일 가능성이 조심스럽게 제기되고 있다.

‘원전반대그룹’이라고 자칭한 정체불명의 해커는 21일 오전 원전부품 도면과 매뉴얼 등 4개의 파일을 추가로 트위터에 올렸다. 15일 처음 파일을 공개한 이후 4번째다.

해커는 트위터 글에 “이런 식으로 나오면 아직 공개 안 한 자료 10여만 장도 전부 공개하겠다. 고리원전 1, 3호기와 월성 2호기를 크리스마스부터 가동 중단하지 않으면 우리도 어쩔 수 없다”며 정부와 한수원을 위협했다. 그는 이 글의 제목에서 ‘시치미를 떼고 모르는 척한다’는 뜻의 북한식 표현인 ‘아닌 보살’이라는 표현을 사용했다. 임종인 고려대 정보보호대학원장은 “이번 해킹에 쓰인 악성코드는 북한이 지난해 3월 한국의 금융회사와 방송사 전산망을 마비시킨 ‘다크서울’과 형태가 비슷한 것으로 안다”고 말했다.

이날 산업통상자원부는 “지금까지 공개된 자료는 일반적 기술자료로 원전 안전에 미치는 영향은 없는 것으로 확인됐다”고 해명했다. 하지만 산업부와 한수원은 원전 해커가 공개한 자료 외에 어떤 자료가 어떤 경로로 유출됐는지, 유출 시점은 언제인지 전혀 설명하지 못하고 있다. 2010년부터 최근까지 국내 원전에 대한 해킹 시도가 1843회나 있었는데도 한수원과 산업부가 충분한 사이버 보안대책을 세우지 못해 이번 사태가 터졌다는 비판의 목소리가 커지고 있다.

이날 개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄2부장)은 해킹 공격에 사용된 것으로 보이는 인터넷주소(IP주소)의 위치로 대구 등을 지목해 수사관들을 급파했지만 해커를 붙잡지 못했다. 합수단은 해커가 네이버 ID를 도용해 IP주소를 우회하는 등 추적을 피하려 치밀히 준비한 정황을 확인하고 IP주소 역추적 등을 통해 해커를 쫓고 있다.

합수단 관계자는 “해커의 정체에 대해 북한을 포함해 다양한 가능성을 열어두고 들여다보겠다”라고 말했다. 국가정보원 국가사이버안전센터는 사이버 위기 ‘관심’ 경보를 발령했다.

이상훈 january@donga.com·김창덕·조건희 기자