![[취재파일] 원전 해커…유령과 싸우는 검찰](http://img.sbs.co.kr/newimg/news/20140701/200761355_1280.jpg)
경기동향이라든지 경제의 흐름을 알 수 있는 가장 편한 방법은 주식시장의 추이를 살펴보는 겁니다. 주식시장은 정치적 변동과 국가재난, 경제인들의 심리까지도 반영한다고 합니다. 경제지표에 심리가 반영되다보니 주식시장이 경기를 반년 정도 앞서간다는 얘기가 나오고 있죠. '경제가 심리'라는 주장에는 개인적으로 동의하지 않습니다만 어느 정도 경제에 영향을 미친다는 게 주지의 사실인 것 맞습니다.
경제가 가장 싫어하는, 그러니까 주식시장이 가장 두려워하는 건 뭘까요? 낮은 경제성장률, 우울한 고용지표, 부동산 거래량 감소, 외국인 투자자들의 대량매도사태 등등 경기가 위축되고 있다는 가시적인 지표들도 고통스럽긴 할 겁니다. 그러나 무엇보다도 경제가 싫어하는 건 바로 불확실성입니다. 미래가 어떻게 될지 한 치 앞을 예측하기 힘든 상황을 대단히 두려워하죠. 자동차 타이어가 펑크가 나 차가 기우뚱한다면 정비소까지 차를 가지고 가는 문제가 있기는 하지만 타이어를 교체하면 되는 간단한 일이죠. 하지만 자동차에서 굉음이 나는데 어떤 장치에 문제가 생긴 건지 알 수 없을 때 운전자가 불안해하는 심리와 비슷한 이치가 아닐까 합니다.
● '해커' 너는 누구냐?
검찰 수사라는 게 수사의 지향점이 있습니다. 특수수사라면 부정부패 고리의 우두머리를 법정에 세우는 일일테고 대공수사라면 자백을 받고 증거를 찾아 간첩을 구속하면 될 일입니다. 정도의 차이는 있겠지만 수사라는 건 항상 수사의 밑그림을 그리고 갑니다. 밑그림에 따라 완성된 그림을 그리면 성공한 수사고 우두머리 목전까지 물감을 묻히다 말면 절반의 수사입니다. 그래도 될 때까지 '거악척결'이라는 명분을 걸고 단계별로 증거도 찾고 자백을 받고, 이렇게 목표를 향해 주어진 일정에 따라 수사를 합니다.
거악을 척결하든 실패하든 그래도 그나마 실체가 누군지를 알고 수사했던 검찰은 나은 편입니다. 인터넷이 세상에 알려지고 사이버 스페이스라는 새로운 범죄공간이 생겨나면서 21세기 검찰의 고심은 깊어지고 있습니다. 그건 바로 결승점이 불확실하다는 것입니다. 도대체 어디서 누가 왜 해킹을 했는지, 해킹시도만 있었을 뿐 목적과 대상이 불분명합니다. 실체를 설명해 줄 내부 제보자도 없이 흰 도화지에 악성코드 공격으로 망가진 컴퓨터를 갖다놓고 뜯어보며 실체가 불확실한 범죄자와 전쟁을 벌여야 합니다. 불리해도 한참 불리한 싸움입니다. 21세기 검찰은 사이버 공간의 유령과 싸우고 있습니다. 유령의 목표는 바로 원전시설이었습니다.
● IP의 발신지는 '중국 선양'
'원전 악성코드 공격 사건' 수사의 시작은 '해커가 누구지'라는 질문이 아니라 '해커가 어딨지'라는 원초적인 질문에서 시작합니다. IP의 위치조차 불확실합니다. 1차 IP 주소지는 대구를 비롯해 일부 지역이 특정됐지만 이마저도 믿을 수 없는 지역입니다. VPN이라는 가상사설망을 이용한 탓에 IP의 실제 접속지가 어디인지 처음부터 다시 찾아야 합니다. 푸는 과정도 복잡합니다. 암호화된 VPN 망에서 실제 접속 지역을 찾아나가는 건 고차방정식 수학문제와 같습니다. 수사는 어두운 방 안에서 촉감으로 해커의 흔적을 만져가며 역으로 찾아나가는 고행의 길입니다.
IP 주소지는 중국 선양으로 나왔습니다. 그것도 2~30개의 IP의 접속지역이 거의 일치합니다. 중국 IP 역시 VPN을 통한 주소라 중국 선양 지역이 맞는지 아니면 또 다른 제3의 지역인지 불확실하지만 접속밀도로 미뤄 짐작했을 때 현재로서는 중국 선양이 종착지점일 가능성이 크다고 믿고 싶은 게 검찰의 속내입니다.
● 해커는 북한 소행(?)
중국 선양이라는 지역이 언론의 주목을 받고 있습니다. 북한과의 인접지역인데다 북한군 정찰총국 산하에 사이버 부대가 작전을 벌이고 있는 지역으로 알려진 곳입니다. 북한 사이버부대의 규모와 명성(?)은 우리군도 잘 알고 있습니다. 고도로 훈련된 전문해커들이, 그것도 조직적으로 지령에 따라 일사분란하게 움직입니다. 북한의 소행인지를 입증할 증거는 없습니다. 범행수법과 정황으로 추정만 할 수 밖에 없는 실정입니다.
검찰이 주도하는 정부 합동수사단이 현재까지 파악한 해커의 실체는 이렇습니다.
"12월 9일 한수원 현직 직원들에게 악성코드가 담긴 이메일 6천 건을 발송했다. 중복 아이디를 제외하고 한수원 직원의 3분의 1, 3천 5백 명이 악성코드 이메일을 받았다. 발송한 이메일은 200여 개... 이 가운데 한수원 퇴직자의 아이디도 50여 개가 포함돼 있다. 이메일은 시방서, 설계도면 같은 제목을 달아 직원들이 무심코 내부 자료라고 생각하고 열어볼 수 있도록 작성됐다."
합수단은 메일이 하루 만에 대규모로 발송했다는 점에 주목하고 있습니다. 대단히 조직적으로 잘 훈련된 해커 조직이 아니면 불가능한 일이라는 것입니다. 한수원 직원들의 이메일 주소를 최소 3천 5백여 개나 확보하고 있었고 이메일 발송자도 한수원 퇴직자였습니다. 공격 시점 전에 한수원 내부 직원들의 아이디를 이미 알고 있었다는 얘기입니다. 이메일도 쉽게 열어볼 수 있도록 제목부터 이른바 '디테일'에 신경 쓴 흔적이 녹아 있습니다. 해커들이 뿌린 악성코드 역시 컴퓨터의 파일과 하드디스크를 순식간에 파괴해버릴 수 있는 치명적인 성능을 가지고 있다고 합니다.
고도로 훈련된 해커 조직이 오래 전부터 치밀하게 준비한 것 같다는 게 합수단의 결론입니다.
● 중국 수사당국이 쥐고 있는 열쇠…판도라 상자 열릴까?
역추적 결과 국내에서 검찰 수사의 역할은 끝났습니다. 이제 공은 중국으로 넘어갔습니다. 법무부와 외교부를 거쳐 중국 수사당국의 IP추적을 요청했습니다. 중국과의 사법공조 결과가 얼마나 빨리 도착하느냐가 해커의 실체를 규명할 관건입니다. 반년 넘게 걸릴 수도 있다는게 검찰의 조심스러운 입장입니다. 늦어지면 늦어질수록 원전 해킹 사건은 규명도 어려울 뿐더러 미제로 남을 가능성이 대단히 큽니다.
사이버 범죄는 계속 증가할 것입니다. 어떤 의도를 갖고 있는 고도로 훈련된 해커집단의 위력도 점점 더 강해질 것입니다. 수사기관이 사이버 범죄의 진화속도를 따라가지 못하는 순간 유령과의 싸움은 더 많아질 것이고, 실체에 다가섰다고 해도 입증은 지지부진해 질 수도 있습니다. 실체를 규명하지 못한다면 함부로 북한 연계설을 퍼뜨릴 수도 없습니다. 남북 관계와 동북아 외교라는 미묘한 외교문제까지 자리잡고 있고, 무엇보다 그래서는 국민들로부터 신뢰를 얻기도 어렵기 때문입니다.
▶ 합수단 "한수원 공격 악성코드는 '컴퓨터 파괴기능'"
동영상 기사
동영상 기사
동영상 기사