작년 크리스마스 전 국민을 우울하게 했던 원자력발전소 자료 유출 사건이 재발했으나 정부 당국은 사실상 속수무책이다.

 

사건이 처음 발생한 지 3개월이 지났으나 '원전 안전에 실제 위협은 없다. 사이버 심리전에 휘말리지 말라'는 해명·당부와 해커의 트위터 내용을 볼 수 없게 차단하는 것이 할 수 있는 조치의 전부인 듯하다.

 

원전 3곳의 가동을 멈추지 않으면 유출 자료 10만여장을 추가로 공개하고 2차 파괴를 하겠다던 해커의 공개 협박은, 이제 돈을 주지 않으면 유출 자료를 해외로 팔아넘기겠다는 것으로 바뀌었다.

 

당초의 원전 파괴 협박이 해프닝으로 끝난 탓에 새로운 협박을 심각한 위협으로 받아들지는 않는 분위기다. 하지만 해커가 추가로 공개한 원전 자료들은 작년 말과 마찬가지로 심각하게 받아들여 한다고 경고하는 전문가들도 적지 않다.

 

◇ 합수단 수사에 부담 느끼지 않는 듯

 

세번째 원전 자료 공개가 있던 작년 12월19일 개인정보범죄 정부합동수사단이 구성되면서 본격적인 수사가 시작됐다.

 

지금까지 언론을 통해 공개된 수사 경과를 보면, 원전 도면 등 인터넷에 공개된 자료들은 해커가 한국수력원자력 전·현직자와 협력사 관계자의 PC를 통해 빼낸 것으로 파악된다.

 

범인은 악성코드가 담긴 수천 통의 이메일을 보내 컴퓨터에 감염시킨 뒤 비밀번호 등을 알아내 이메일을 해킹하거나 컴퓨터에 저장된 자료를 직접 빼내는 등 전형적인 '피싱' 수법을 동원한 것으로 드러났다.

 

우려했던 원전 제어시스템의 피해는 없었으며, 주로 보안이 허술한 협력사와 퇴직자 컴퓨터를 통해 자료가 유출됐다는 것이 합수단의 판단이다.

 

범인은 해킹할 때 추적을 막기 위해 인터넷 가상사설망(VPN) 서비스를 통해 할당받은 인터넷프로토콜(IP) 주소를 사용했는데, 이 주소는 중국 선양에 집중된 것으로 파악됐다.

 

수사 결과를 종합하면 원전 자료의 유출 경위는 어느 정도 파악됐으나, 범인 실체나 행적에 대한 수사는 거의 답보 상태다.

 

합수단은 수사 착수 수일 만에 범인으로 추정되는 인물이 선양에서 300회 이상 IP 접속을 한 사실을 확인하고서 중국 사법당국에 수사 공조를 요청했으나 이후 이렇다할 진전이 없다.

 

트위터 등을 유출 자료를 공개하는 통로로 이용하고 있는 범인의 행적을 쫓기 위해 미국 연방수사국(FBI)과의 공조 수사도 검토한다고 했으나 아직 드러난 성과는 없다.

 

범인은 합수단 수사에 전혀 부담을 느끼지 않는 듯 하던 대로 원전 자료와 함께 한수원과 정부를 조롱하는 글을 트위터에 올리며 활개를 치는 모습이다.

 

◇ 북한 배후설 재확산

 

임종인 청와대 안보특보는 해커가 활동을 재개한 지난 12일 언론과의 인터뷰에서 원전 자료 유출 사건의 배후로 북한을 지목했다. 이와 함께 유출 자료 추가 공개가 마크 리퍼트 주한 미국대사 피습사건에 대한 여론의 관심을 돌리기 위한 것으로 보인다는 의견을 피력했다.

 

실제로 합수단은 범인의 IP 주소가 선양에 집중된 점과 자료 유출에 쓰인 악성코드의 종류가 과거 북한이 활용하던 것과 동일한 점을 들어 북한의 소행일 가능성에 무게를 두고 수사를 진행하고 있다.

 

해커가 트위터에 올린 글에 북한식 표현이 사용된 것도 북한 배후설에 무게를 더한다. 작년 말 다섯 차례 원전 자료를 공개하면서 '아닌 보살'(시치미를 떼고 모른척 한다)는 등의 북한식 표현을 사용한 데 이어 이번에는 '통채'(통째), '요록'(간추린 목록)이라는 북한식 표현을 썼다.

 

하지만 북한 배후설에 대한 반론도 있다. 범인이 수사에 혼선을 주기 위해 의도적으로 북한식 표현을 사용했을 가능성도 제기된다.

 

북한 노동신문은 작년 말 원전 자료 유출 사건을 연관시키는 것은 터무니없는 날조라고 비난한 바 있다.

 

중국에서는 IP 주소를 얼마든지 조작할 수 있다는 점을 들어 선양을 북한 해커의 거점으로 보는 주장을 반박하고 있다. '보여지는' IP 주소를 스스로 선택할 수 있는 해커들이 실제 활동 지역을 노출시킬 가능성은 희박하다는 것이다.

 

◇ 보안업계 "사실 확인이 먼저"

 

일각에서는 범인이 타인의 불안이나 사회 혼란 자체를 노리는 자기과시형 해커일 가능성도 배제하지 않고 있다.

 

범인은 사건 초기 원전에 반대하는 환경운동가를 자처하는 모습을 보였으나, 이제는 한수원과 정부에 대놓고 돈을 요구하는 등 앞뒤가 안맞는 상식 밖의 행태를 보이고 있다. 

 

이번에 공개한 자료에 원전과 관련이 없는 박근혜 대통령과 반기문 유엔 사무총장의 통화내용 녹취록을 포함한 것이나 정부가 야심차게 추진하는 원전 수출을 위협하는 듯한 태도는 진위 여부를 떠나 자신의 해킹 실력이나 정보력을 과시하거나 사건에 대한 주목도를 높이기 위한 의도가 강한 것으로 풀이된다.

 

산업통상자원부는 재발한 원전 자료 유출의 목적이 국민의 불안감을 조성하고 사회 질서를 흔들려는 '사이버 심리전'에 있기 때문에 해커 전략에 말려들지 말고 차분하게 대응해야 한다는 입장을 취하고 있다.

 

보안업계는 범인의 트위터 글 자체를 믿을 수 없기 때문에 휘둘려서는 안 된다는 반응을 보이고 있다. 

 

국내 보안업체 관계자는 "많은 악성코드를 심어놓고 자료를 대량으로 유출했다는 해커의 주장을 믿을 수 없다"며 "판단을 내리기에 앞서 사실을 확인하는 것이 먼저"라고 강조했다. 

 

북한 배후설에 대해서는 신중한 태도를 취했다.

 

이 관계자는 "지난해 말 소니 해킹 사건도 미국 정부가 북한을 배후로 지목했으나 사실은 강력한 추정일 뿐 명확한 증거가 나온 것은 아니었다"며 "해킹 같은 사이버 범죄는 흔적을 지우기 쉽고 추적은 어렵기 때문에 국내는 물론 전 세계적으로도 실제로 범인을 잡은 경우는 거의 없다"고 말했다.