한수원 ‘감염의심’ 컴퓨터 분석…유출 연관성 수사

한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 유출범으로 추정되는 인물이 가상사설망(VPN) 서비스를 통해 할당받아 사용한 IP를 다수 확보한 것으로 23일 알려졌다.

합수단은 전날 H사 등 가상사설망(VPN) 서비스를 제공하는 업체 2곳와 함께 집중적으로 분석 작업을 진행, 범인 추정 인물이 원전 도면 등을 블로그에 게시하는 데 쓴 국내 IP 몇 곳을 특정한 것으로 전해졌다.

VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해 준다. H사 등 2곳은 유출 자료가 담긴 인터넷 블로그 글이 게시될 때 해당 IP를 할당해준 업체다.

VPN 서비스를 거치면 올린 글의 IP를 확인해도 소재지가 곧바로 특정되지 않는다. 사이버 범죄를 저지를 의도로 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 ‘세탁 IP’인 셈이다.

합수단은 H사 등에서 확보한 IP 할당 내역 중 범인 추정 인물이 사용한 IP들을 찾아낸 것으로 전해졌다. 해당 IP를 정밀분석해 실제 인터넷에 접속한 소재지를 추적 중이다.

합수단은 여러 개의 ‘세탁 IP’ 중 실제 접속지가 국내인 것들을 먼저 추려내고 있다.

소재지가 확인되는 대로 현장에 수사관을 급파, IP 사용자의 신원을 특정할 만한 단서를 확보할 방침이다. 누군가가 PC방에서 접속한 것이라면 그 PC방 주변의 폐쇄회로(CC) TV 등이 단서가 될 수 있다.

물론 신원이 특정되더라도 범인 또는 조력자가 아니라 아이디를 도용당한 피해자일 가능성이 있다.

합수단은 한수원 직원 및 협력사 관계자 등으로부터 제출받은 컴퓨터 4대에 대한 분석 작업도 벌이고 있다. 이 컴퓨터들은 악성코드에 감염돼 범인의 자료 유출 통로가 됐을 가능성이 있다.

합수단은 이 컴퓨터에 자료를 빼돌리는 데 사용할 만한 악성 프로그램이 심어져 있는지, 원격 조종이 가능한 좀비PC로 변질돼 있는지 등을 우선 확인하고 있다.

연합뉴스