[단독]네이버 ID 도용… 추적 피하려 IP 수차례 우회

[원전 해킹 파장]
합수단, 유출경로 본격 수사
유출자료 배포-협박글 트위터, 해외주소 사용… 추적 시간 걸릴듯

‘원전반대그룹’이 트위터에 올린 협박 메시지에는 ‘아닌 보살’과 같은 북한에서 흔히 쓰이는 표현이 들어 있다.

검찰은 21일 원자력발전소 설계도 등 한국수력원자력 내부 자료를 빼돌린 해커가 추적을 피하기 위해 네이버 ID를 도용하고 인터넷주소(IP주소)를 우회하는 등 치밀하게 범행을 준비한 정황을 파악하고 해커의 신원과 위치를 추적하고 있다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 자칭 ‘원전반대그룹’이 15일 유출 자료를 블로그에 게재하는 데 사용한 네이버 ID의 가입자 정보를 토대로 21일 가입자의 대구 주소지 등에 수사관들을 보내 PC와 서버를 수색했지만 ID가 도용된 것으로 조사됐다. 합수단은 해커가 가상사설망(VPN) 등을 이용해 IP주소를 여러 차례 우회하는 방식으로 접속 위치도 숨겼을 가능성이 높다고 보고 우회에 활용된 IP주소를 고구마줄기 캐듯 따라가며 해킹 공격의 근원지를 좁혀갈 계획이다.

합수단은 해커와 한패로 보이는 인물이 유출 자료를 배포하고 협박 글을 트위터에 올린 경로도 확인하고 있지만 해당 트위터 계정은 해외 e메일 주소로 만들어진 것이라 추적에는 시간이 다소 소요될 것으로 보인다. 해커가 해외 서버를 경유하는 등 이중삼중으로 우회 전략을 썼다면 추적에 더 오랜 시간이 걸릴 가능성도 있다.

합수단은 자료가 유출된 경로도 세밀하게 복기하고 있다. 이날 부산 기장군 고리원전과 경북 경주시 월성원전에는 디지털포렌식 요원들을 보내 한수원 관계자들의 PC가 악성 프로그램에 감염돼 ‘좀비PC’로 활용됐는지 정밀 검사했다. 또 한수원 서버에 남아있을지 모르는 해커의 흔적을 찾아내기 위해 접속을 시도한 외부 IP주소의 성격을 분석 중이다.

좀비PC를 이용한 해킹은 지난해 ‘3·20 방송사 및 금융기관 디도스(DDoS·분산서비스 거부) 공격’ 당시 북한 정찰총국이 사용했던 수법이다. 다만 이번 한수원 해킹 공격에 북한이 개입했는지는 아직 확인되지 않은 것으로 전해졌다. 합수단 관계자는 “사안의 중대성을 고려해 범인 검거 시점을 앞당기기 위해 최선을 다하고 있다”고 말했다.

조건희 becom@donga.com·장관석 기자