인터넷에 공개된 원전 자료가 한국수력원자력 퇴직자의 개인 컴퓨터 등에서 유출됐을 가능성이 제기됐다.
26일 보안업계에 따르면 원전 자료를 공개한 자칭 ‘원전반대그룹’이 한수원 내부 정보망을 해킹해 빼냈다며 23일까지 다섯 차례에 걸쳐 인터넷에 올린 자료 중 일부가 앞서 9일 사이버 공격 때 사용된 정황이 포착됐다.
이 자료는 원전반대그룹이 지난 15일 처음 블로그와 트위터에 공개한 자료들 가운데 하나인 ‘CANDU(캐나다형 중수로원전) 제어 프로그램 해설서’로 25페이지 분량의 한글 문서파일(hwp)이다. 이 파일은 앞서 9일 공격 때 한수원 직원들에게 발송된 이메일에 첨부됐던 한글 문서파일들 가운데 하나와 일치한 것으로 알려졌다.
이 같은 사실은 한수원이 공격을 받은 직후 백신업체에 신고할 때 해당 악성메일 일부가 바이러스 정보공유 사이트에 게시되면서 보안업계에 알려졌다.
이는 해커로 추정되는 원전반대그룹이 9일 공격 때 한수원 내부망을 직접 해킹해 빼냈음을 암시하며 다섯 차례에 걸쳐 공개한 총 85건의 자료들의 유출 시기가 9일이 아닐 뿐 아니라 출처도 한수원 내부가 아닐 수 있음을 의미한다.
보안업계는 원전반대그룹이 일부 원전자료를 9일 공격 전에 이미 확보하고 있었던 정황과 공격 때 한수원 퇴직자 메일 계정이 대거 도용된 점을 근거로, 최근 공개된 원전자료들이 한수원 내부가 아닌 퇴직자 PC에서 유출됐을 가능성이 있는 것으로 보고 있다. 아울러 한수원이 보안전문업체와 함께 1주일 이상 5000∼6000대에 달하는 한수원의 업무용 PC를 대상으로 고강도의 점검을 벌였지만, 해킹이나 자료 유출의 흔적을 발견하지 못한 점도 이같은 분석에 힘을 싣고 있다.
보안업계 한 관계자는 “지금까지 수사 결과로 보면 배후가 북한일 가능성이 커 보이지만 유출 자료의 출처는 한수원 내부가 아니라 퇴직자 PC를 비롯해 외부일 가능성도 있다”고 말했다. 이어 “일부 추론처럼 북한이 수년 전부터 한수원의 보안망을 농락했을 가능성도 배제할 수는 없지만, 현실적으로는 그보다 퇴직자의 PC 등을 해킹해 원전자료를 빼냈다고 볼 개연성이 더 크다”고 설명했다.
사건을 수사 중 개인정보범죄 정부합동수사단도 한수원에 대한 사이버 공격 때 이메일 계정을 도용당한 퇴직자들의 PC가 사전에 해킹당했을 가능성이 있는 것으로 보고 수사 범위를 확대하고 있다. 합수단 측은 모든 유출 자료가 퇴직자와 관련이 있는 것으로 보지는 않지만 다수의 퇴직자 이메일이 대거 도용된 흔적이 확인된 만큼 모든 가능성을 열어 두고 수사를 진행하고 있는 것으로 알려졌다.