합수단, 미국 FBI에 공조수사 요청…“北연계 가능성 배제 안해”
한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 22일 유출범으로 추정되는 인물이 국내외 곳곳에서 IP를 사용한 사실을 파악하고 추적 중이다.
합수단 관계자는 이날 기자들을 만나 “유출범이 해커인지는 확인되지 않았지만 고도의 전문성을 지닌 것으로 판단된다”고 밝혔다.
이 관계자는 “전 세계적으로 IP가 왔다 갔다 하는 상황이어서 추적이 어려운 만큼 하루 이틀 안에 범인을 잡기는 어렵다”고 덧붙였다.
합수단은 범인으로 추정되는 인물이 유출 자료를 공개하는 글을 올리면서 사용한 IP가 우리나라와 일본, 미국 등지에 분산돼 있는 사실을 확인했다.
이 중 우리나라에서 사용된 IP가 가장 많지만 범인이 국내에 있다고 단정할 수는 없다는 게 합수단 측 설명이다.
수사진은 복잡한 IP 사용 흔적을 따라가며 유출범이 최초로 사용한 IP를 찾고 있다.
범인으로 추정되는 인물은 지난 15일부터 전날까지 4차례에 걸쳐 인터넷 포털사이트 개인 블로그와 사회관계망 서비스(SNS)인 트위터 등에 글을 올리고, 원전 도면 등 한수원 주요 내부 자료를 공개했다.
그가 지난 15일 블로그에 글을 올리면서 사용한 IP는 대구에 거주하는 사람의 아이디를 도용한 것으로 파악됐다. 아이디 도용 과정에서 악성코드가 사용된 흔적은 나타나지 않았다.
전날 게시된 트위터 글은 미국에서 등록된 계정을 통해 올린 것으로 확인됐다.
이에 따라 합수단은 미국 연방수사국(FBI)에 공조수사를 요청했다.
지난 19일 이 사건 수사에 착수한 합수단은 아직 피의자를 특정하지 못한 상태다. 단독 범행인지, 공범이 있는지 등도 수사가 더 진행돼야 윤곽이 잡힐 전망이다.
합수단 관계자는 “이번 사건이 한수원 내부 인사의 유출에 따른 것인지, 외부로부터의 해킹 때문인지 등은 확인되지 않았다”며 “북한과의 연관성도 확인되지 않았지만 가능성을 배제하지는 않고 있다”고 말했다.
합수단은 한수원 내부 관계자나 한수원 협력업체 직원에 의한 유출, 한수원 외부의 제3자에 의한 유출 등 3가지 가능성을 모두 열어 놓고 수사망을 좁히고 있다.
제3자 유출도 악성코드를 한수원 전산망에 심어 자료를 빼돌렸거나 해킹 수법을 동원했을 가능성 등 다양한 범행 시나리오를 염두에 두고 있다.
이날 합수단은 고리와 월성 원전에도 수사관을 보내 유출된 자료를 취급했던 한수원 직원과 협력사 관계자 등의 컴퓨터를 임의 제출받았다.
수사관들은 컴퓨터를 제출한 직원 등을 대상으로 자료가 작성된 시점과 관리 상황, 인터넷을 통한 외부 전송 여부 등도 조사하고 있다.
합수단은 H사 등 가상사설망(VPN) 서비스를 제공하는 업체들을 대상으로 한 수사도 벌이고 있다. 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 제공하는 VPN은 IP를 위장하는 데 활용될 수 있다.
합수단은 VPN 업체가 서비스를 제공한 대상 중 이번 범행과 관련이 있을 만한 인물이 ‘IP 세탁’을 시도한 흔적이 있는지를 파악하고 있다. 연합뉴스