또 미국에 국제공조수사를 요청했으며 지난해 북한정찰총국의 '3·20 사이버테러와 유사한 수법과 북한식 말투가 사용된 점 등 북한과의 관련성도 살피고 있다.
22일 합수단에 따르면 해킹 조직 일원으로 추정되는 원전반대그룹(Who Am I?)이 한수원의 내부 자료를 유출하면서 사용한 네이버 ID의 가입자 정보를 토대로 지난 21일 가입자의 대구 주소지 등에 수사관을 보내 컴퓨터와 서버를 수색했다.
그 결과 해당 ID가 도용된 것을 확인했다.
해당 ID 가입자는 혐의를 부인한데다 ID가 도용된 만큼 해커 신병을 확보하지는 못했다.
합수단은 해커가 사용한 것으로 의심되는 네이트 ID 등에 대한 추적에도 나섰다.
또 해커가 국내 가상사설망 등을 이용해 IP주소를 여러 차례 옮기는 방식으로 우회 접속했을 가능성에 초점을 두고 국내 가상사설망 업체에 대한 통신영장(통신사실 확인자료 제공 요청 허가서)을 통해 해당 업체의 통신 내역을 조사 중이다.
합수단은 해킹 조직 일원으로 추정되는 한 트위터 사용자가 추가 유출을 예고한 것과 관련해서는 미국 수사당국에 국제공조수사를 요청한 상태다.
하지만 해당 트위터 계정이 해외에 서버를 둔 이메일 주소로 만들어진 것으로 알려져 추적에는 다소 시간이 소요될 것으로 보인다.
합수단은 원전 설계도가 유출된 부산 기장군 고리원전과 경북 경주시 월성원전 직원들의 컴퓨터를 임의제출 받아 분석 중이다. 해당 원전의 관련자들을 직접 불러 내부 문서 작성·관리 시스템과 외부 유출 가능성 등에 대해서도 조사했다.
합수단은 직원들의 컴퓨터 일부가 악성 프로그램에 감염돼 이른바 '좀비 PC'로 활용된 흔적을 포착한 것으로 전해졌다.
좀비 PC를 이용한 해킹은 지난해 방송사와 금융기관 등의 전산망을 마비시킨 '3·20 사이버테러' 당시 북한 정찰총국이 사용했던 수법이다.
또 트위터를 통해 추가 유출을 경고한 트위터 사용자가 공격을 알리면서 '청와대, 아직도 아닌 보살'이라는 표현을 사용한 것 역시 이번 해킹을 북한의 소행으로 추정할 수 있는 근거 중 하나로 여겨진다.
'아닌 보살'은 북한에서 '시치미를 뗀다'는 뜻으로 주로 쓰이는 것으로 전해진다.
이에 대해 합수단 관계자는 "북한과의 관련 가능성을 배제하지 않고 있다"고 했다.
한수원의 내부 기밀문서 유출은 지난 15일부터 이어져 21일 4번째 유출이 발생했다.
박태훈기자 buckbak@segye.com
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]
![[설왕설래] 우주항공청과 존 리](http://img.segye.com/content/image/2024/04/24/128/20240424518768.jpg
)
![[세계포럼] ‘절대의석’이 부른 삼권분립 위기](http://img.segye.com/content/image/2023/06/07/128/20230607522919.jpg
)
![[세계타워] 허먼 멜빌의 ‘모비딕’ 완독기](http://img.segye.com/content/image/2024/01/31/128/20240131519365.jpg
)
![[다문화칼럼함께하는세상] 언제까지 미생일까?](http://img.segye.com/content/image/2024/04/24/128/20240424518742.jpg
)
