[아이티투데이 성상훈 기자] 한국수력원자력(한수원) 원전 해킹사건을 수사 중인 개인정보범죄 정부합동수사단은 한수원 내부 자료를 빼돌린 해커가 국내 가상사설망(VPN) 등을 이용해 IP 주소를 숨긴 흔적을 포착해 해커의 신원과 추적중이다.

합동수사단은 미국에 국제공조수사를 요청한 상태로, 지난해 북한소행으로 잠정 결론지어진 '3·20 사이버테러'와 유사한 수법과 북한식 말투가 사용된 점 등 북한과의 관련성도 함께 조사중이다.

22일 합동수단에 따르면 해킹 조직 일원으로 추정되는 '원전반대그룹'이 한수원 내부 자료를 빼낼 당시 사용한 네이버 ID의 가입자 정보를 토대로 가입자의 주소지(대구)로 수사관을 보내 PC와 서버를 수색했지만 해당 ID는 도용된 것으로 확인됐다.

 
현재는 해커들이 국내 가상사설망 등을 이용해 IP주소를 여러번 옮기는 방식으로 우회 접속했을 가능성에 무게를 두고 있다. 이를 토대로 가상사설망 업체에 대한 통신사실 확인자료 제공 요청을 통해 해당 업체의 통신 내역도 조사중이다.

원전반대그룹의 일원으로 추정되는 한 트위터 사용자가 추가 유출을 예고한 것에 대해서는 미국 수사당국에 공조 수사를 요청한 상태다.

한수원 내 PC 일부는 악성 프로그램에 감염되면서 '좀비PC' 상태에 있는 것을 확인하고 지난해 방송사와 금융기관을 상대로 자행된 '3·20 사이버테러'에 사용된 것과 같은 것을 확인했다.

합동수사단 관계자는 "현재로써는 북한과의 관련 가능성도 배제하지 않고 있다" 설명했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지