23일 검찰에 따르면 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 전날 통신허가서를 받아 VPN 서비스를 제공하는 A사 등 업체 2곳와 함께 집중적으로 분석 작업을 진행해 범인으로 추정되는 인물이 원전 도면 등을 블로그에 게시하는 데 쓴 IP를 일부 특정했다.
VPN 업체는 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 갖추고 서비스 가입자에게 IP를 할당해준다. A사 등 2곳은 유출 자료가 담긴 인터넷 블로그 글이 게시될 때 해당 IP를 할당해준 업체다.
VPN 서비스를 거치면 실제 누가 글을 작성했는지 확인하기 쉽지 않다. IP 할당을 받는 과정에서 남의 아이디 등을 도용할 수 있기 때문이다. 이 때문에 VPN 서비스를 거친 IP는 추적을 회피하기 위한 일종의 '세탁 IP'인 셈이다.
합수단은 분석 작업을 통해 A사 등에서 확보한 IP 할당 내역 중 범인으로 추정되는 인물이 사용한 IP들을 찾아낸 것으로 전해졌다. 분석 결과 국내뿐 아니라 해외에서도 접속이 이뤄진 것으로 알려졌다.
검찰은 정확한 접속 소재지 파악을 위해 IP를 정밀 분석하고 있으며 국내에서 접속된 경우 소재지가 확인되는 대로 현장에 수사관을 급파해 IP 사용자의 신원을 특정할 만한 단서를 확보할 방침이다.
검찰은 접속 장소가 IP 추적이 어려운 PC방 등 공공시설일 것으로 추정하고 있다. 유출 방법 등을 볼 때 일반인이 아닌 해킹전문가가 개입돼 있을 가능성이 높기 때문이다.
검찰은 PC방이나 도서관 등에서 접속한 사실이 확인될 경우 해당 시설에 설치된 폐쇄회로(CC)TV와 목격자 진술 등을 바탕으로 해당 컴퓨터를 사용한 이에 대한 신원 확보 작업에 나설 방침이다.
글을 올린 곳이 해외인 경우에는 해당 국가의 사법당국에 수사 공조를 요청하기로 했다.
검찰 관계자는 "현재 IP 추적을 통해 실제 글을 작성한 이들에 대한 추적 작업을 진행하고 있다"며 "실제 유출에 개입됐는지, 이번 범행을 공모했는지 등을 확인하기 위해서는 게시자의 신원 특정이 중요하다"고 밝혔다.
검찰은 유출자에 대한 추적 작업과 동시에 유출 경위를 파악하기 위한 작업에도 속도를 내고 있다.
검찰은 한수원 직원과 협력사 관계자 등으로부터 제출받은 컴퓨터 4대에 대한 분석 작업을 진행하고 있다. 이 컴퓨터들은 악성코드에 감염돼 범인의 자료 유출 통로가 됐을 가능성이 있다.
다만 현재까지 문서를 파괴하는 기능 외 문건을 유출할 수 있는 기능은 없는 것으로 알려졌다. 앞서 원전반대그룹은 지난 15일 한수원 데이터센터를 해킹했다며 직원 인적사항을 포함한 내부자료를 블로그를 통해 공개했다. 이후에도 5번에 걸쳐 트위터 등을 통해 고리 원자력발전소 1호기 원전 냉각시스템 도면 등을 확보한 사실을 밝히며 국내 원자력발전소의 중단을 요구하고 있다.
