원전 공격 이메일 9일 하루 5천980통 ‘시한폭탄발송’

원전 공격 이메일 9일 하루 5천980통 ‘시한폭탄발송’

입력 2014-12-28 15:04
수정 2014-12-28 15:58
  • 기사 읽어주기
    다시듣기
  • 글씨 크기 조절
  • 댓글
    0

실행시간 10일 오전 11시 설정…한수원 직원 3천571명에 보내져대부분 삭제…메일 확인한 PC 일부 파괴

한국수력원자력 원전 도면 등 유출 사건을 수사하는 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 악성코드 이메일 5천980통이 지난 9일 오전 5시∼오후 3시 사이 집중 발송된 사실을 확인했다고 28일 밝혔다.

조석 한수원 사장이 28일 오전 서울 강남구 삼성동 한수원 본사에서 최근 원전 자료 유출 사건과 신고리원전 가스 누출 사고와 관련해 기자간담회를 하고 있다. 연합뉴스
조석 한수원 사장이 28일 오전 서울 강남구 삼성동 한수원 본사에서 최근 원전 자료 유출 사건과 신고리원전 가스 누출 사고와 관련해 기자간담회를 하고 있다.
연합뉴스
또 10일부터 12일까지 6통의 추가 이메일이 발송됐다. 모두 6천통에 가까운 이들 악성코드 이메일은 9일부터 나흘 사이에 한수원 전체 직원 9천500여명 중 3분의 1인 3천571명(일부는 중복 수신)에게 보내졌다.

합수단은 교차 분석을 통해 확인한 결과 악성코드를 심은 첨부파일에 자료의 유출이나 탈취 기능은 없고 파일 파괴, 네트워크 패킷 발생(트래픽 유발), 디스크 파괴 기능이 있었다고 설명했다.

악성코드가 담긴 이메일의 파괴기능은 10일 오전 11시에 실행되도록 ‘시한폭탄’ 기능이 설정돼 있었다. 10일 이후 발송된 메일 역시 같은 시간에 실행되도록 맞춰져 있었다.

한수원은 9일 대량의 악성코드 이메일이 들어오자 대부분의 메일을 삭제했지만, 일부 직원이 파일을 열어본 컴퓨터는 디스크가 파괴됐다.

악성코드 파일을 발송한 이메일 계정은 모두 211개로, 이중 55개가 한수원 퇴직자 명의를 도용한 이메일 계정이었다. 포털사이트 다음의 한메일과 구글의 지메일, MSN의 핫메일 등의 계정이 도용됐다.

합수단은 디스크가 파괴된 4대의 컴퓨터를 임의제출 형식으로 넘겨받아 분석하고 있다.

합수단 관계자는 “9일 이메일 공격만 보면 시스템이 정상적으로 작동했다는 점에서 실패한 것으로 볼 수 있지만, 범인의 전체 계획을 모르는 상태에서 실패라고 단정하기는 어렵다”며 추가 공격 가능성도 배제하지 않고 있음을 내비쳤다.

원전 도면 등 유출과 관련해 합수단은 해킹 가능성과 악성코드를 통한 이메일 탈취, 내부 공모자 등 다양한 가능성을 열어놓고 수사를 진행 중이다.

합수단은 월성고리 원전 직원들의 PC 30여대를 확보해 도면 유출 경로를 추적하고 있다. 한수원 협력업체에서도 관련 자료를 넘겨받는 한편 퇴직자들이 발송한 이메일도 본인 동의를 얻어 조사 중이다.

합수단은 지난 10월 한수원에 대한 이메일 공격과 관련해 “(10월과 12월 발송된 이메일의 악성코드) 문자열 3개가 일치하는 것만으로는 동일범이라고 판단하기에 이르다”며 “당시 악성코드는 유출과 관련이 있다고 돼 있는데 이번에는 파괴 기능에 초점이 맞춰져 있다”고 설명했다.

합수단은 미국 영화사 소니 픽처스 엔터테인먼트 해킹과 이번 원전 해킹 시도가 모두 북한의 소행일 가능성도 염두에 두고 미국 연방수사국(FBI)과 공조 수사하는 방안도 검토하고 있다.

연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
close button
많이 본 뉴스
1 / 3
광고삭제
광고삭제
위로