국내 보안업체 빛스캔은 지난 7월 한수원 내부직원을 위한 전용 A 여행사 웹사이트에서 악성코드가 퍼진 정황을 발견했다고 29일 밝혔다.
빛스캔은 "A사 웹사이트에 악성코드가 삽입된 뒤 관련 사이트, 카테고리 사이트 대부분에 동일한 악성링크가 들어갔다"며 "이 과정에서 한수원이 포함돼 해당 악성링크의 영향을 받은 것으로 추정된다"고 말했다.
한수원 직원 전용 A사 사이트의 경우 한수원 임직원만 이용하도록 제작된 사이트로 일반인의 접근이 어려웠다. 빛스캔은 "내부 임직원을 위한 페이지일 확률이 높다고 볼 수 있으며 보안에 취약한 사용자가 이 기간 동안에 해당 사이트를 방문했을 경우에는 악성코드의 감염확률이 높았다고 볼 수 있다"고 덧붙였다. 특히 당시 유포된 악성코드에 내부 정보를 빼갈 수 있는 기능이 포함돼 있었다. 빛스캔은 "(악성코드는) 파밍과 공인인증서 탈취 기능이 내장돼 있는 '트로이 목마'였다"며 "화면 캡처와 파일 전송, 명령 창 실행, 레지스트리·서비스 등 거의 모든 기능을 수행할 수 있다"고 강조했다.
앞서 28일 한수원 해킹 사태를 수사하고 있는 개인정보범죄 정부합동수사단은 12월9일 한수원 직원들에게 보내진 악성코드 메일이 5,980건이었다고 밝혔었다. 그러나 검찰은 조사 결과 해당 악성 코드에서 '문서 유출' 기능을 발견하지 못했다고 설명했다.
