原電 해커, 中선양서 집중 접속

北정찰총국 사이버戰 조직 배치 지역… 황교안 법무 “北소행 가능성 수사”

‘원자력발전소 해커’가 한국수력원자력의 내부 자료를 유포할 때 사용한 인터넷주소(IP주소)의 접속 지역이 중국 선양(瀋陽)에 몰려 있는 것으로 24일 확인됐다. 검찰은 해당 지역이 북한의 사이버전(戰) 거점임을 감안해 이번 한수원 자료 유출이 북한과 연계됐을 가능성이 있다고 보고 수사하고 있다. 황교안 법무부 장관도 이날 국회 법제사법위원회에 출석해 “북한 소행 가능성도 배제하지 않고 있으며, 그럴 가능성을 갖고 수사하고 있다”고 밝혔다.

개인정보범죄 정부합동수사단(단장 이정수 서울중앙지검 첨단범죄수사2부장)은 자칭 ‘원전반대그룹’이 처음으로 트위터에 한수원 내부 자료를 올렸던 15일 해당 트위터 ID에 접속한 IP주소를 분석한 결과 90% 이상이 선양의 가상사설망(VPN) 업체였다고 밝혔다. 이들 IP주소는 15일 하루에만 해당 ID로 200차례 이상 접속한 것으로 분석됐다. 선양은 북한 정찰총국의 사이버전 핵심 조직 ‘조선백설무역회사’ ‘인터넷침투연락소’ 등이 배치된 지역이다. 지난해 북한의 ‘3·20 사이버테러’ 당시에도 선양의 IP주소가 악성 프로그램 유포에 다수 활용된 것으로 알려졌다.　　
▼ ‘성탄절 공격’ 예고… 원전 비상태세 돌입 ▼

해커, 中선양서 집중 접속

합수단은 과거 북한의 해킹 공격과의 유사성을 정밀 비교해 이번 한수원 자료 유출이 북한과 연계됐는지 조사하고 있다. 다만 선양의 VPN이 도용됐을 가능성도 있어 해커의 최초 접속 위치를 선양으로 단정하긴 어려운 상황이다.

또 해커가 도용한 국내 VPN 계정은 2년 전에 개설됐고, IP주소 사용료를 납부한 자동이체 계좌는 다른 사람 명의로 된 국내 대포통장인 것으로 밝혀졌다. 합수단은 수법의 정교함으로 미루어 다수의 전문 해커가 오랜 기간 치밀하게 해킹을 준비한 것으로 보고 있다.

법무부는 해커의 최초 접속 위치를 추적하기 위해 24일 중국 공안에 사법 공조를 요청했다. 이와 관련해 화춘잉(華春瑩) 중국 외교부 대변인은 이날 “해킹 문제에 대한 각국과의 협력과 공동대응을 희망한다”며 수용 가능성을 시사했다.

한수원과 관계 부처는 해커가 원전 가동 중단을 요구한 ‘D―데이’인 성탄절을 하루 앞두고 비상상황반을 구성해 관련 직원들을 24시간 대기시키는 등 극도의 긴장감 속에 비상대응태세에 돌입했다. 한수원은 만약의 사태에 대비해 직원들에게 수동제어 요령과 매뉴얼을 숙지시켰으며, 최악의 경우 가동 중단까지 고려하고 있다. 윤상직 산업통상자원부 장관은 이날 고리본부에서 철야근무를 했다.

해커로 보이는 인물은 21일 트위터에 “성탄절까지 고리 1, 3호기와 월성 2호기를 중단시키지 않으면 우리도 자료를 전부 공개하고 2차 파괴를 실행할 수밖에 없다”라는 협박 글을 올렸다.

조건희 becom@donga.com·이상훈 기자