[北 원전 해킹 의혹] '원전 유출' IP 中선양에 집중…北 해커 소행 가능성 커졌다

합수단, 中에 사법공조 요청

‘원전반대그룹 미핵’의 원전시스템 공격 예고일을 하루 앞둔 24일 보안철조망 너머로 보이는 경북 경주 월성원자력발전소 모습. 연합뉴스

‘원전반대그룹 미핵’이 원자력발전소에 대한 자료 추가 공개와 고리 1·3호기 및 월성 2호기에 대한 시스템 공격을 예고한 25일을 맞아 정부는 총력 대기상태에 들어갔다. 해당 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 자료 유출범으로 추정되는 인물의 인터넷프로토콜(IP) 주소가 중국 선양시에 집중돼 있는 것을 24일 확인했다.

합수단 관계자는 이날 “범인이 활용한 인터넷 가상사설망(VPN) 서비스 업체 세 곳으로부터 확보한 자료를 분석한 결과 범인으로 추정되는 인물이 선양에서 20~30여개의 IP에 총 200여차례 접속한 것을 확인했다”고 밝혔다. 선양시는 대남 사이버 공격업무 등을 담당하는 북한 정찰총국 해커들이 주로 활동하는 지역이다. 합수단은 북한의 소행일 가능성을 열어두고 법무부를 통해 중국 수사당국에 IP 추적 등 사법 공조를 요청했다.

범인은 IP를 부여하는 VPN의 서비스에 가입할 때 사용한 명의와 입금계좌도 도용한 것으로 파악됐다. 신분을 드러내지 않기 위한 고도의 회피전략을 사용한 것으로 보인다. 또 IP 개수가 많아 개인이 아닌 집단범죄의 가능성도 있다.

합수단은 또 범인이 사용한 트위터에서 인터넷 링크로 연결된 자료를 미국 연방수사국(FBI)으로부터 제공받아 분석 작업을 병행하고 있다.

이날 ‘미핵’이 트위터를 통해 원전자료 공개에 이용한 미국계 파일공유 사이트 페이스트빈과 드롭박스 등은 접속장애 현상을 보였다. ‘블라인드 처리됐다’거나 ‘에러’ 혹은 ‘삭제된 페이지’ 등의 표시가 떴다. 한국수력원자력과 합수단 등의 요청에 따라 국내 접속이 차단된 것으로 보인다. 다만 해외에서는 해당 사이트에 대한 접속이 가능한 것으로 알려져 실효성 논란도 있다.

임종인 고려대 정보보호대학원장은 미핵이 25일로 시한을 정한 것과 관련, “특정 시간에 작동하는 시한폭탄 형태의 악성코드가 나타날 가능성이 있다”고 말했다. 원전 주무부처인 산업통상자원부의 윤상직 장관과 문재도 2차관 등은 월성과 고리 원전에서 25일까지 대기하기로 했다.

문 차관은 이날 정부세종청사에서 기자들과 만나 “해킹을 했더라도 원전 제어시스템이나 프로그램 명령어를 완벽하게 알고 있어야 시스템을 작동시킬 수 있다”며 “이상이 생기면 원전은 자동으로 정지되고 제어가 안 되는 상황이 발생해도 바로 수동으로 멈출 수 있다”고 말했다.

정부는 해당 원전 3기가 정지하는 최악의 상황에서도 전력 수급엔 문제가 없다는 입장이다. 원전 3기의 전력 생산능력은 230만㎾인데 최근 예비전력은 1000만㎾ 안팎을 유지하고 있어 상황이 괜찮다는 것이다. 한파로 사상 최대 전력 수요를 기록한 지난 17일 최대 전력수요는 8015만㎾였고, 당시 공급능력은 8936만㎾였다.

김재후/정소람/박병종 기자 hu@hankyung.com