한수원 해킹 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 해커 세력들이 수개월 전부터 e메일 악성코드 유포 공격과 자료 해킹을 준비해온 정황을 포착했다고 26일 밝혔다.
합수단은 "해커 세력들이 한수원 퇴직자 명의를 도용해 지난 12월9일 악성코드를 담은 e메일을 천 통 이상 보냈는데 9일 이전에 수개월 전부터 도용한 명의로 로그인한 흔적을 발견했다"며 "오래전부터 범행을 치밀하게 준비해온 것으로 보인다"고 밝혔다.
합수단은 추가 수사를 통해 9일뿐만 아니라 10∼12일 악성코드를 담은 e메일 6개가 한수원 직원에게 발송된 사실을 새로 발견했다.
발송된 e메일에는 파일 삭제 기능이 있는 공격용 악성코드가 심어져 있는 것으로 조사됐다. 다만 이 악성코드는 컴퓨터 내부 정보를 빼내는 기능은 갖고 있지 않은 것으로 확인됐다.
합수단 관계자는 "e메일의 경우 자료를 빼내려는 것이 아니라 파일을 망가뜨리려는 의도로 보인다"면서 "정보 유출은 12월9일 이전에 행해진 것으로 추정된다"고 말했다.
9일부터 12일까지 한수원에 발송된 악성 e메일은 모두 211개로 한수원 퇴직자 명의를 도용한 e메일 계정 55개가 사용된 것으로 파악됐다.
해커들은 e메일에 '○○ 도면입니다'라는 제목 외에도 '견적서' '시방서' '송전선로 프로그램 관련' 등의 제목을 달아 한수원 직원이라면 무심코 e메일을 열어볼 수 있도록 유도한 것으로 조사됐다.
합수단은 또 자료 유출 빌미를 제공한 한수원 임원 등에 대해서도 수사에 나서기로 했다. 합수단 관계자는 "아직 수사 초기지만 한수원 보안관리자 등이 보안 지침을 제대로 지키지 않는 등 사이버보안을 소홀히 했던 정황이 발견됐다"며 "해커 세력 검거와 자료 유출 경위 규명이 어느 정도 마무리되면 한수원 임원·정보관리자 등에 대해서도 수사에 나설 것"이라고 말했다.
