한국수력원자력의 원전 도면 등 주요 자료가 유출된 사건에 대한 수사가 속도를 내면서 북한과의 연계설과 조직적 범행 가능성을 연상시키는 범죄 정황이 속속 포착되고 있습니다.
고도의 사이버 범죄는 통상 매우 복잡한 경로를 거치는 만큼 미리부터 범죄 유형을 예단하기 어렵지만 지금까지 드러난 정황만으로 보면 이 두 가지 가능성이 당분간 수사의 초점이 될 가능성이 커 보입니다.
이 사건을 수사 중인 개인정보범죄 정부합동수사단은 범인 추정 인물이 사용한 IP 접속 기록이 중국 선양에 집중된 사실을 확인했습니다.
이 인물은 지난 15일부터 5차례에 걸쳐 인터넷 블로그와 트위터 등에 원전 도면 등 유출 자료와 한수원을 조롱하는 글을 올렸습니다.
그는 게시된 글의 IP 소재지 추적을 피하려고 국내 인터넷 가상사설망(VPN) 업체에서 할당받은 다수의 IP를 사용했는데, 그 IP를 다시 따라가 보니 중국 선양에서 접속한 IP들이 20∼30개 발견된 것입니다.
접속 횟수로 치면 200여차례나 됩니다.
합수단은 범행에 쓰인 중국발 IP 중에서 다른 지역에서 접속한 것은 거의 없고 선양에서만 다량 발견된 사실에 주목하고 있습니다.
선양은 북한과 인접한 랴오닝성의 성도라는 점에서 북한 연계설이 부상하고 있습니다.
북한 배후설을 뒷받침하는 다른 정황도 있습니다.
범인 추정 인물이 지난 21일 트위터에 올린 글에는 시치미를 떼다는 뜻인 '아닌 보살'이라는 글귀가 등장하는데, 이는 주로 북한에서 쓰는 표현입니다.
물론 범인이 일부러 북한을 연상케 하는 범죄 흔적을 남겨 수사팀의 혼선을 유도하려 했을 가능성도 있습니다.
의도적으로 IP 경유지를 선양으로 택하고, 북한식 글귀를 남겨 엉뚱한 방향으로 수사가 흐르도록 했을 수 있다는 분석입니다.
합수단은 아직 수사 초기 단계인 만큼 두 가지 가능성 모두를 열어 놓고 범인을 추적하는 한편, 중국 등과의 국제 사법공조 체계를 활용해 수사망을 좁혀가고 있습니다.
합수단은 자료 유출범이 고도의 IT 전문가일 것으로 판단하고 있습니다.
더 나아가 단독 범행이 아니라 조직적 범죄일 가능성을 염두에 두고 있습니다.
이런 관측은 지금까지 드러난 범죄수법만으로도 모든 일을 혼자 기획했다고 보기 어렵다는 분석과 맥을 같이합니다.
무엇보다 수사진의 추적을 따돌리기 위한 'IP 세탁' 방식이 매우 치밀하게 준비된 모습입니다.
범인 추정 인물은 수사당국에서 소재지를 특정하기 어렵도록 VPN 서비스를 활용했습니다.
특히 국내 VPN 업체 3곳에 각각 가입한 3명의 명의를 도용했습니다.
명의를 도용당한 피해자들의 거주지는 서울이었습니다.
VPN 서비스 이용료마저도 누군가로부터 탈취한 인터넷뱅킹 공인인증서를 활용, 국내 은행지점에 개설된 다른 사람의 계좌에서 빠져나가도록 해 놨습니다.
미국에 서버를 두고 있어 추적에 애를 먹을 수밖에 없는 트위터를 유출 자료 공개 창구로 활용했을뿐 아니라 트위터 계정까지도 도용한 것으로 합수단은 판단하고 있습니다.
국내 포털사이트의 블로그를 통해 유출 자료나 글을 올릴 때는 대구에 사는 사람의 명의를 도용하기도 했습니다.
미국과 일본, 중국을 넘나들도록 IP 경유지를 분산시켜 놓은 점 등 이번에 동원된 수법을 종합적으로 따져볼 때 복수의 전문가들에 의해 범행이 저질러졌을 가능성이 크다는 게 합수단의 판단입니다.
합수단 관계자는 "한 사람이 VPN 서비스로 여러 개의 IP를 동원했을 수도 있으므로 아직 단정하긴 어렵다"면서도 "한 사람의 소행으로 보이지는 않는다"고 말했습니다.
(SBS 뉴미디어부)