2014.12.23 08:21 PM
한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 유출범으로 추정되는 인물이 가상사설망(VPN) 서비스를 통해 할당받아 사용한 IP를 다수 확보한 것으로 23일 알려졌다.
국내 원자력발전소의 내부 자료가 또다시 인터넷에 공개됐다. 지난 15일, 18일, 19일, 21일에 이어 5번째다. 이날 5번째 유출을 알리는 트위터의 페이지의 모습.
합수단은 전날 H사 등 VPN 서비스를 제공하는 업체 2곳와 함께 집중적으로 분석 작업을 진행, 범인 추정 인물이 원전 도면 등을 블로그에 게시하는 데 쓴 국내 IP 몇 곳을 특정한 것으로 전해졌다.
VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해 준다. H사 등 2곳은 유출 자료가 담긴 인터넷 블로그 글이 게시될 때 해당 IP를 할당해준 업체다.
VPN 서비스를 거치면 올린 글의 IP를 확인해도 소재지가 곧바로 특정되지 않는다. 사이버 범죄를 저지를 의도로 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 '세탁 IP'인 셈이다.
합수단은 H사 등에서 확보한 IP 할당 내역 중 범인 추정 인물이 사용한 IP들을 찾아낸 것으로 전해졌다. 해당 IP를 정밀분석해 실제 인터넷에 접속한 소재지를 추적 중이다.
합수단은 여러 개의 '세탁 IP' 중 실제 접속지가 국내인 것들을 먼저 추려내고 있다.
소재지가 확인되는 대로 현장에 수사관을 급파, IP 사용자의 신원을 특정할 만한 단서를 확보할 방침이다. 누군가가 PC방에서 접속한 것이라면 그 PC방 주변의 폐쇄회로(CC) TV 등이 단서가 될 수 있다.
물론 신원이 특정되더라도 범인 또는 조력자가 아니라 아이디를 도용당한 피해자일 가능성이 있다.
합수단은 이날 사회관계망 서비스(SNS) 트위터에 5번째로 올라온 글과 유출 자료도 수사 대상에 포함시켰다. 지난 15일, 18일, 19일, 21일에 이어 5번째로 올라온 게시물에는 한수원을 조롱하는 글과 원전 도면 등이 담겼다.
합수단 관계자는 "5번째로 올라온 게시물도 동일 인물의 소행으로 판단하고 추적을 계속하고 있다"고 밝혔다.
트위터의 경우, 사용자 정보 등을 확인하려면 서버가 있는 미국 측 수사당국과 공조수사를 벌여야 한다. 합수단은 이미 범인 추정 인물이 지난 21일 트위터에서 4번째 게시물을 공개할 당시부터 미국 연방수사국(FBI)에 공조수사를 요청했다.
합수단은 한수원 직원 및 협력사 관계자 등으로부터 제출받은 컴퓨터 4대에 대한 분석 작업도 벌이고 있다. 이 컴퓨터들은 악성코드에 감염돼 범인의 자료 유출 통로가 됐을 가능성이 있다.
합수단은 이 컴퓨터에 자료를 빼돌리는 데 사용할 만한 악성 프로그램이 심어져 있는지, 원격 조종이 가능한 좀비PC로 변질돼 있는지 등을 우선 확인하고 있다.