한국수력원자력의 자료를 빼낸 자칭 '원전반대그룹'이 "25일부터 고리 1, 3호와 월성 2호기를 중단하지 않으면 사이버 공격을 하겠다"고 위협했기 때문이다.
그러나 이상 징후는 감지되지 않았다.
개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 지난 9일 악성코드가 포함된 다량의 이메일이 한수원 직원 수백명에게 발송된 사실을 확인했다고 이날 밝혔다.
이메일은 마치 업무상 필요한 도면이 포함된 것처럼 착각할 수 있는 제목이 적혀 있었으며 한글 파일 유형의 첨부파일에는 각종 악성코드가 심어져 있었던 것으로 조사됐다.
합수단은 한수원 직원들이 받은 이 이메일에서 모두 300여 종의 악성코드를 발견했다. 여기에는 파일 유출, 파일 삭제, 원격제어 등이 가능토록 하는 악성코드가 포함된 것으로 알려졌다.
합수단은 한수원 직원들의 컴퓨터 하드디스크 등을 임의제출 받아 이 악성코드가 설치된 사실이 있는지, 이를 통해 자료가 유출된 것은 아닌지 등을 면밀하게 살펴보고 있다. 특히 이 악성코드가 실제 원전을 중단시킬 수 있는지 여부도 조사 중이다.
특히 합수단은 한수원 퇴직자 수십 명의 개인 이메일 계정에서 이같은 악성코드 이메일이 발송된 사실을 포착하고 조사 중이다.
다만 합수단은 "이들이 발송한 이메일의 인터넷 주소(IP)를 추적한 결과 다른 악성코드 이메일과 마찬가지로 중국 선양 지역에 집중된 점을 확인했고, 이들의 명의 역시 도용당했을 가능성이 있다"고 추정했다.
이와 관련해 합수단은 원전 자료 유출자로 추정되는 인물의 IP를 추적한 결과 20~30여 IP가 지난 15일 하루 동안 중국 선양에서 200여 차례 이상 집중적으로 접속한 사실을 확인한 바 있다.
이날은 해킹 조직으로 추정되는 원전반대그룹(WHO AM I)이 트위터와 인터넷 블로그 등을 통해 한수원의 원전 관련 자료를 처음으로 공개하며 협박 게시물을 올린 날이기도 하다.
이 때문에 합수단은 악성코드 이메일을 보낸 조직(인물)이 이 사건 유출자로 추정되는 조직(인물)과 동일한 주체일 것으로 의심하고 있다.
실제 악성코드 이메일 유포 IP와 협박 게시물을 올린 IP가 중국 선양에 집중적으로 몰려있고, IP번호가 서로 근접하다는 사실이 발견됐다.
또 지난 23일 다섯 번째로 올라온 협박 게시물에는 악성코드 이메일이 발송된 지난 9일을 두고 "역사에 남는 날이 될 것"이라고 언급하기도 했다.
이에 따라 합수단은 IP 접속자의 위치를 확인하기 위해 중국 당국과 형사사법공조 절차에 착수했다. 합수단은 이를 통해 중국 선양 통신사를 이용해 IP를 접속한 것인지, 아니면 중국 통신사를 우회해 또 다른 장소에서 접속한 것인지 여부를 확인할 예정이다.
이 관계자는 "공개된 자료가 1~2년 전의 자료인 점, 수십여개의 IP를 사용해 우회 접근하고 퇴직자의 이메일까지 도용한 점 등을 고려하면 상당히 오랜 기간 준비해 온 것으로 보인다"며 "모든 가능성을 열어두고 수사하고 있다"고 설명했다.
한편 한수원은 원전 유출 사건과 관련, "비상체제 운영은 위협이 사라질때까지 계속될 것"이라고 밝혔다.