합수단은 범인 추정 인물이 활용한 인터넷 가상사설망(VPN) 서비스 업체 3곳으로부터 자료를 확보해 분석한 결과 이 같은 사실을 파악했다고 24일 밝혔다.
Like Us on Facebook
합수단에 따르면 지난 15일 범인 추정 인물이 VPN 업체로부터 할당받은 IP 중 20∼30개는 중국에서 접속됐다. 접속 횟수는 200여차례인데, 거의 모든 접속지가 중국 선양인 것으로 확인됐다고 합수단 관계자는 설명했다.
이에 따라 합수단은 해당 IP를 추적하기 위해 중국 당국과 사법공조 절차를 밟고 있다.
합수단은 이 인물이 사이버 공간에 남긴 IP 접속 흔적이 북한과 인접한 중국 랴오닝성의 성도(省都)인 선양에서 집중적으로 발견된 점에 주목하고 있다.
합수단 관계자는 "현재는 수사 초기 단계여서 북한과의 관계는 확인한 바 없다"면서도 "북한과 관련성은 단정할 수도, 부인할 수도 없다"고 언급했다.
VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해 준다.
H사 등 3곳은 범인 추정 인물이 원전 도면 등 유출 자료를 담은 인터넷 블로그 글을 게시할 때 해당 IP를 할당해 준 업체다. 사이버 범죄를 저지를 의도로 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 '세탁 IP'로 간주할 수 있다.
범인 추정 인물은 VPN 서비스 가입자의 명의를 도용한 것으로 파악됐다. 2년 전부터 이 서비스에 가입해 있던 누군가의 명의를 훔쳐 서비스를 제공받은 것으로 나타났다. 명의 도용 피해자는 서울에 거주 중인 것으로 확인됐다.
VPN 서비스 이용료 역시 누군가로부터 탈취한 인터넷뱅킹 공인인증서를 활용, 국내 은행지점에 개설된 다른 사람의 계좌에서 빠져나가도록 해 놓은 것으로 조사됐다. 주도면밀한 범행이 이뤄졌음을 시사하는 대목이다.
이 인물이 지난 21일과 23일에 게시글을 올린 트위터 계정도 도용됐을 가능성이 큰 것으로 합수단은 판단하고 있다.
범인 추정 인물은 전날 원전 도면 등을 담은 5번째 게시글을 사회관계망 서비스인 트위터에 올렸다. 클릭하면 다른 주소로 연결돼 또 다른 자료를 볼 수 있도록 인터넷 링크를 걸어 놓기도 했다. 인터넷 링크에는 페이스트빈이라는 프로그램이 활용됐다.
트위터와 페이스트빈은 미국에 서버를 두고 있기 때문에 합수단은 미국 연방수사국(FBI)에 공조수사를 요청했고, 인터넷 링크로 연결된 자료를 FBI로부터 제공받아 분석 중이다.
합수단은 추가 피해 예방과 범인 검거를 위해 경찰청 사이버안전국과도 협조하기로 했다.
합수단 관계자는 "이번 사건이 조직적 범행인지는 아직 단정할 수 없지만 다수의 IP가 동원된 것으로 봐서 한 사람이 한 것으로 보이지 않는다"고 말했다.
