한국수력원자력(이하 한수원)의 원전자료 유출사건에 대해 수사당국이‘북한소행’으로 잠정 결론을 내렸다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 17일 한수원 사이버테러 사건 중간수사 결과를 발표하면서 “원전도면공개 등이 이뤄진 지난해 12월 북한 IP 25개와 북한의 체신성 산하 통신회사에 할당된 IP주소 5개가 협박 글 게시에 사용된 것과 같은 VPN 업체 H사를 통해 접속한 내역을 확인했다”고 밝혔다.
이어“H업체의 망을 사용한 북한의 발자국 30개가 발견됐다고 보면 된다”며 “국내에는 영세 VPN 업체가 많은 데 북한이 은밀한 공격루트로 사용하던 H 업체를 (원전 자료 유출 범인이) 사용했다는 게 북한 소행이라는 가장 큰 정황 증거”라고 덧붙였다.
다만 북한 IP 30여 개가 H 업체의 망을 이용하면서 어떤 작업을 했는지에 대해서는 “아직 밝혀내지 못했다”고 말했다.
또 “이메일 공격에 사용된 악성코드는 킴수키처럼 쉘코드(shell code: 악성코드를 초기에 작동시키는 명령어 코드 조각)가 PC내 윈도우 메모장 프로그램에 삽입돼 있는 등 동작방식이 동일하다”며 “쉘코드 함수 및 명령어 구조가 일치하고 원격접속을 위한 악성코드도 99% 유사하다”고 설명했다.
다만, 합수단은“박 대통령과 반기문 유엔사무총장의 대화록 작성 및 유출 경로는 확인하는 중”이라며 “미국 연방수사국(FBI)을 통해 입수한 트위터 자료는 가입자 이메일 정보뿐이라 범인의 인적 사항을 확인할 수 없었고 중국 공안부에 요청한 자료는 아직 도착하지 않았다”고 설명했다.
