원전자료 유출범IP 中선양에 집중…수백여차례 접속

[아시아경제 이혜영 기자] 한국수력원자력의 내부자료 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 범인으로 추정되는 인물이 사용한 IP가 중국 특정 지역에 집중된 것을 확인하고 이를 추적 중이다.

합수단은 범인이 활용한 인터넷 가상사설망(VPN) 서비스 업체 H사 등 3곳으로부터 자료를 제출받아 분석한 결과 유출범이 북한과 가까운 중국 선양에서 집중적으로 접속한 사실을 확인했다.

합수단은 지난 15일 원전 도면 등을 공개한 인물이 VPN 업체로부터 할당받은 IP 중 20~30개는 중국에서 접속됐고 총 접속횟수는 200여차례에 달한다고 설명했다. 합수단은 중국 당국에 사법공조를 요청하는 절차를 밟고 있다.

중국 랴오닝성에 있는 선양은 북한이 인민군 정찰국 산하 해커조직을 운영하는 것으로 알려진 곳이다. 이 때문에 북한 소행일 가능성도 점쳐지고 있다.

합수단 관계자는 "현재는 수사 초기단계라 북한과의 관련성을 단정할 수도, 부인할 수도 없다"며 "시간이 좀 더 필요한 상황"이라고 말했다.

합수단은 추적에 혼선을 주기 위해 범인이 일부러 선양에 흔적을 남겼을 가능성도 배제하지 않고 있다. 특히 범인이 VPN 서비스에 가입할 때 제3자의 명의를 도용한 뒤 2년여간 사용한 점을 감안하면 장기간에 걸쳐 이번 사건을 준비하고 'IP 세탁'을 했을 것으로 판단하고 있다.

합수단은 VPN 가입자를 추적해 해당 인물이 서울에 거주한다는 사실을 확인했지만 아직 범행과의 연계성은 찾지 못한 상태다. VPN 이용료 역시 명의를 도용해 빼낸 공인인증서를 활용해 다른 사람의 계좌에서 빠져나가도록 해놓은 것으로 조사됐다.

VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 이용자들에게 IP를 할당해 준다. 이번 경우처럼 VPN 서비스를 거친 IP는 파악되더라도 실제 이용자의 소재지와는 다르기 때문에 신원을 특정하기 어렵다.

합수단 관계자는 "이번 사건이 조직적 범행인지는 단정할 수 없지만 다수의 IP를 동원해 옮겨다니는 것을 볼 때 한 사람이 한 것으로 보이진 않는다"고 말했다.

한편 원전자료 유출범은 전날 원전 도면 등을 담은 5번째 게시글을 트위터에 올렸다. 클릭시 다른 주소로 연결돼 또 다른 자료를 볼 수 있도록 인터넷 링크를 걸어놓기도 했다. 미국 연방수사국(FBI)에 사법공조를 요청한 합수단은 트위터와 인터넷 링크 프로그램으로 쓰인 페이스트빈 등의 자료를 넘겨받아 분석 중이다.