악성코드도 '선양 발'…북한 연루? 우회 경로?

<앵커>

이번에는 해킹 사건 관련 소식입니다. 한수원에 대한 해킹과 악성코드 공격은 모두 중국 선양에서 접속한 네트워크를 통해 진행된 걸로 확인됐습니다. 같은 집단의 소행일 가능성이 높아졌고 북한이 관련됐을지 모른다는 의혹도 제기됐습니다.

보도에 이한석 기자입니다.

<기자>

지난 9일 있었던 한수원에 대한 악성코드 공격과 원전 도면 유출이 동일 범죄집단의 소행으로 추정되는 이유는 크게 세 가지입니다.

첫째, IP 주소가 두 범행 모두 마지막 한 자리만 틀릴 뿐 대부분 같고, 접속지도 중국 선양에 집중돼 있습니다.

둘째, 유출된 문건에 찍혀 있던 'WHO AM I'라는 문구는 악성코드 안에도 들어 있었습니다.

셋째, 문건 유출 세력이 12월 9일을 기념하겠다는 글을 트위터에 남겼는데 악성코드 공격시점을 알고 있었던 것으로 보인다는 것입니다.

이들은 한수원 퇴직자의 계정 50여 개를 포함해 모두 200여 개의 이메일 계정을 도용해 악성코드 공격을 한 것으로 드러났습니다.

이 계정들은 수개월 전부터 도용당해온 것으로 나타났습니다.

접속지가 선양으로 확인되면서 이번 사건을 북한과 연관된 것으로 보는 시각도 있습니다.

선양이 북한과 가깝고 실제로 북한 해커들이 선양을 주 무대로 활약해온 전례가 있기 때문입니다.

하지만 해커들이 선양을 침투 경로를 숨기기 위한 우회 경로로 삼았을 가능성도 있다고 전문가들은 지적합니다.

(영상취재 : 이승환, 영상편집 : 이승희)