28일 합수단은 “12월 9일부터 보내진 이메일을 교차 분석한 결과 파일 파괴 기능과 디스크 파괴 기능, 네트워크 패킷 발생 기능이 있었던 것을 확인했다”고 밝혔다.
합수단에 따르면 이메일에 포함된 악성코드는 파일 실행에 장애를 일으키는 등의 파일 파괴 기능과 네트워크의 트래픽을 유발해 과부하를 일으키는 네트워크 패킷 발생 기능, 해당 PC에 있는 디스크를 파괴하는 등의 세 가지 기능이 있었던 것으로 확인됐다. 다만 문서를 유출하는 등의 기능은 없었던 것으로 조사됐다.
한수원 직원들에게 보내진 메일은 총 5,896건으로 이중 5,890건이 12월 9일에 발송됐으며 6건은 12월 10일부터 사흘에 걸쳐 발송됐다. 이메일을 받은 직원은 3,571명이었으며 이 이메일은 모두 12월 10일 오전 11시에 작동되도록 설정돼 있었다. 다만 한수원이 메일이 발송된 12월 9일 해당 메일을 삭제하는 등의 조치를 취해 실제 디스크가 파괴되는 등의 피해를 입은 컴퓨터는 현재까지 4대인 것으로 파악됐다. 합수단은 현재 이 4대의 컴퓨터를 임의제출 형식으로 넘겨받아 분석중이다.
합수단은 도면 유출 방식에 대해서는 다양한 가능성을 열어두고 있다고 밝혔다. 합수단 관계자는 “본사 시스템 해킹과 이메일을 통한 악성코드, 내부자의 공모 등 어느 하나도 배제할 수 없는 상황”이라며 “여러 가지 경우의 수를 보고 있다”고 말했다. 추가 공격 가능성에 대해서도 이 관계자는 “12월 9일 공격만 보면 실패한 측면이 있다”면서도 “범인의 전체적인 계획이 뭔지 단정할 수 있는 상황아 아니기 때문에 전체적인 계획의 실패라고 결론 내릴 상황은 아니”라고 추가 공격 가능성을 배제하지 않고 있음을 내비쳤다.
