‘원전해킹’ 공격, 12월9일 이후 또 있었다

합수단 “12월10~12일 악성코드 이메일 발송”…수개월 전부터 공격 준비, 악성코드 300여개 심어

[아시아경제 류정민 기자] 한국수력원자력에 대한 ‘원자력발전소 해커’의 공격이 12월9일 이후에도 추가로 있었던 것으로 확인됐다.

개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 26일 한수원 원전도면 유출 사건을 수사한 결과, 12월10~12일 악성코드를 담은 이메일 6개가 한수원 직원들에게 발송된 사실을 확인했다고 밝혔다.

추가로 발송된 이메일 공격은 파일 삭제 기능이 있는 공격용 악성코드가 심어져 있는 것으로 나타났다. 컴퓨터 내부 정보를 빼내는 기능은 없었던 것으로 알려졌다.

문제의 초점이 된 12월9일부터 추가로 확인된 10~12일 공격까지 한수원에 발송된 악성 이메일은 모두 211개로 조사됐다. 이 가운데 한수원 퇴직자 명의를 도용한 이메일 계정 55개가 사용된 것으로 드러났다.

이메일에 심은 악성코드는 300여개에 이르는 것으로 파악됐다. 합수단은 이 악성코드가 한수원 업무 전산망에 퍼졌는지, 실행됐다면 어떤 영향을 미쳤는지 등을 분석 중이다.

합수단 관계자는 “원전협박 게시자 아이피를 접속해 분석해보니 동일시간대에 같은 아이피로 한수원에 퇴직자 아이디로 접속한 사실이 발견됐다”면서 “이메일에 심어진 악성코드를 실행하면 데이터가 파괴된다. 그 후 컴퓨터를 다시 부팅하면 ‘Who am I’ 문구가 화면에 나오도록 하는 기능이 있다”고 설명했다.

합수단이 조사를 진행한 결과 한수원 컴퓨터 4대가 고장이 난 것으로 파악됐다. 3대는 업무용이고 1대는 인터넷 PC용인 것으로 알려졌다.

합수단은 이번 원전해킹이 최소 수개월 전부터 준비된 것으로 보고 있다.

합수단 관계자는 북한 연계설에 대해 “북한소행이냐 아니냐는 확인된 바 없다. 수사초기이기 때문에 결과가 다 나온 것은 아니다”라고 말했다.

류정민 기자 jmryu@asiae.co.kr