해커, 원전 시스템 파괴 위협까지

원전 정보 4차례 유출
한수원 이메일 통해 악성코드
내부 자료 10만건 확보 주장
블로그·SNS 등에 해킹 과시
합수단, IP추적…지방으로 확인

‘원전반대그룹’을 자칭하는 해커 추정 인물이 한국수력원자력(한수원)에서 빼낸 대외비 자료 등을 순차적으로 공개하면서, 유출자의 정체와 자료 입수 경로에 관심이 쏠리고 있다. 검경의 첨단범죄 수사 전문가들과 인터넷진흥원, 통신 3사 파견 인력 등으로 꾸려진 개인정보범죄 정부합동수사단(합수단)은 21일 아이피를 확인하는 등 유출자 추적에 본격적으로 나섰다.

원전반대그룹은 자신이 해킹을 통해 원전 설계 제어 프로그램과 모든 기밀 자료를 손에 넣었으며, 한수원에 대한 사이버 공격도 자신이 했다고 포털 블로그와 사회관계망서비스(SNS)를 통해 과시하고 있는 인물이다. 원전 가동 중지를 요구하며 원전 시스템 파괴를 위협하고 있으나 장난스러워 보이는 금전 요구를 하는 등 진정한 의도를 가늠하기 힘든 행태를 보이고 있다. 하지만 지난 9일 한수원을 상대로 이뤄진 사이버 공격을 실제 감행한 것으로 추정돼 2차 공격 위협을 그저 허풍으로 보기 어려운 측면도 상당하다.

이 인물은 지난 9일 한수원 임직원 전자우편을 통해 악성코드 공격을 시작하면서 처음 모습을 드러냈다. 처음에는 ‘원전반대그룹’이라는 명칭을 쓰지는 않았다. 다만 악성코드에 감염 시 하드파괴 기능이 실행되며 ‘후 앰 아이?’(Who am I·나는 누구일까요?)라는 단서 메시지를 띄운 것으로 알려졌다. 그 뒤 이 인물은 15일 개설한 포털 블로그에 올린 글과 이미지 등을 통해 ‘안전과 생명을 위협하는 원전 반대’를 주장하고 한수원 내부 자료를 유출하기 시작했다. 또 유출 문건에 ‘후 앰 아이?’라는 이미지를 덧붙여 자신이 앞서 사이버 공격을 감행했음을 드러냈다. 한수원에 악성 바이러스 1만6250여개를 보냈으며, 내부 자료 10만여건을 확보했다고 주장하기도 했다. 이 인물은 해킹 성과를 알리기 위해 자신을 원전반대그룹 한국지부장이라고 소개하는 전자우편을 <한겨레>에 보내는가 하면, 트위터 메시지 등을 통해 국내 언론들뿐 아니라 <비비시>(BBC) <시엔엔>(CNN) 등 외신에도 정보 공개 사실을 적극적으로 알리는 과시적 행태를 보였다. 이후 블로그 글에서는 자신이 하와이에 있는 것처럼 가장하기도 했지만, 글을 올린 아이피는 국내인 것으로 확인됐다.

검찰은 지난 17일 한수원 쪽으로부터 신고를 접수한 데 이어 19일 정부 합수단에 사건을 배당해 한수원 대외비 문건 등을 인터넷에 올린 유포자 검거와 유출 경로 확인에 본격 나섰다. 합수단은 이날 “유포자가 주요 정보를 올린 것으로 추정된 지방으로 수사관 등을 내려보냈으며, 추가 유출이 없도록 고리·월성 원자력발전소에도 직원들을 파견했다”고 밝혔다. 합수단은 유포자 검거와 더불어 추가 유출 방지를 위해 고리 원전(부산 기장군)과 월성 원전(경북 경주) 현지에서의 점검 작업도 시작했다.

유출자의 정체가 쉽게 드러날지는 미지수다. 글을 올린 아이피가 확인된 만큼 유포자 검거는 빠른 시간 안에 이뤄질 수도 있지만, “한수원 데이터센터를 직접 해킹했다”는 공언이 사실이라면 수사는 장기화될 가능성도 있다. 고급 해커가 검경의 추적을 예상하고 여러 경로를 우회 접속해 해킹에 나섰다면 경로 확인에만도 몇개월이 걸리기 때문이다.

정세라 노현웅 기자 seraj@hani.co.kr