원전도면 유출범 IP 中 선양에 집중…200여차례 접속

한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 유출범으로 추정되는 인물이 사용한 IP가 중국 선양에 집중적으로 몰린 사실을 확인했습니다.

합수단은 범인 추정 인물이 활용한 인터넷 가상사설망(VPN) 서비스 업체 3곳으로부터 자료를 확보해 분석한 결과 이 같은 사실을 파악했다고 밝혔습니다.

합수단에 따르면 지난 15일 범인 추정 인물이 VPN 업체로부터 할당받은 IP 중 20∼30개는 중국에서 접속됐습니다.

접속 횟수는 200여 차례인데, 거의 모든 접속지가 중국 선양인 것으로 확인됐다고 합수단 관계자는 설명했습니다.

이에 따라 합수단은 해당 IP를 추적하기 위해 중국 당국과 사법공조 절차를 밟고 있습니다.

합수단은 이 인물이 사이버 공간에 남긴 IP 접속 흔적이 북한과 인접한 중국 랴오닝성의 성도인 선양에서 집중적으로 발견된 점에 주목하고 있습니다.

합수단 관계자는 "현재는 수사 초기 단계여서 북한과의 관계는 확인한 바 없다"면서도 "북한과 관련성은 단정할 수도, 부인할 수도 없다"고 언급했습니다.

물론 북한과 연계된 듯한 단서를 남겨 추적에 혼선을 일으키기 위해 일부러 선양을 IP 경유지로 활용했을 가능성도 남아 있습니다.

VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해 줍니다.

H사 등 3곳은 범인 추정 인물이 원전 도면 등 유출 자료를 담은 인터넷 블로그 글을 게시할 때 해당 IP를 할당해 준 업체입니다.

사이버 범죄를 저지를 의도로 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 '세탁 IP'로 간주할 수 있습니다.

범인 추정 인물은 VPN 서비스 가입자의 명의를 도용한 것으로 파악됐습니다.

2년 전부터 이 서비스에 가입해 있던 누군가의 명의를 훔쳐 서비스를 제공받은 것으로 나타났습니다.

명의 도용 피해자는 서울에 거주 중인 것으로 확인됐습니다.

VPN 서비스 이용료 역시 누군가로부터 탈취한 인터넷뱅킹 공인인증서를 활용, 국내 은행지점에 개설된 다른 사람의 계좌에서 빠져나가도록 해 놓은 것으로 조사됐습니다.

주도면밀한 범행이 이뤄졌음을 시사하는 대목입니다.

이 인물이 지난 21일과 어제(23일) 게시글을 올린 트위터 계정도 도용됐을 가능성이 큰 것으로 합수단은 판단하고 있습니다.

범인 추정 인물은 어제 원전 도면 등을 담은 5번째 게시글을 사회관계망 서비스인 트위터에 올렸습니다.

클릭하면 다른 주소로 연결돼 또 다른 자료를 볼 수 있도록 인터넷 링크를 걸어 놓기도 했습니다.

인터넷 링크에는 페이스트빈이라는 프로그램이 활용됐습니다.

트위터와 페이스트빈은 미국에 서버를 두고 있기 때문에 합수단은 미국 연방수사국(FBI)에 공조수사를 요청했고, 인터넷 링크로 연결된 자료를 FBI로부터 제공받아 분석 중입니다.

합수단은 추가 피해 예방과 범인 검거를 위해 경찰청 사이버안전국과도 협조하기로 했습니다.

합수단 관계자는 "이번 사건이 조직적 범행인지는 아직 단정할 수 없지만 다수의 IP가 동원된 것으로 봐서 한 사람이 한 것으로 보이지 않는다"고 말했습니다.

(SBS 뉴미디어부)