개인정보범죄 정부합수단(단장 이정수 서울중앙지검 부장검사)은 한수원 해킹 세력의 IP(접속지)를 분석한 결과 이들이 사용한 대부분의 IP가 중국 선양에 집중된 사실을 24일 확인했다.
합수단은 "지난 12월15일 하루에만 중국 선양에서 IP 20~30개를 이용해 200~300번 접속했다"며 "IP가 접속된 구체적인 지역을 추적하기 위해 중국에 사법공조를 요청했다"고 밝혔다.
합수단은 '원전반대그룹'이라고 자칭하는 해킹 세력이 네이버와 네이트 등에 글을 올릴 때 국내 가상가설망(VPN)을 이용해 할당 받은 여러 개의 IP를 확보해 최초 시작점을 찾는 방식으로 역추적해왔다. VPN은 별도의 인터넷 전용선을 사용할 수 있도록 하는 서비스로 해킹 세력은 IP를 위장하는 용도로 VPN을 활용한 것으로 알려졌다. 그 결과 이들 IP의 대부분이 북한 해커들의 주 근거지인 중국 선양으로 이어졌다는 사실을 밝혀냈다.
이에 따라 이번 유출 범행이 북한 해커부대들의 조직적인 범죄일 가능성이 더욱 높아졌다. 그동안 해킹 세력들이 트위터에 글을 올릴 때 '아닌 보살(시치미 떼다)' '어떨가요' 등 평양문화어를 구사한 점 등 때문에 북한의 소행일 가능성이 높다는 지적이 제기돼왔다.
합수단은 북한 연루 가능성을 인정하면서도 "이번에 확인한 중국 선양 IP가 최초 시작점인지는 추가적인 확인이 필요하기 때문에 북한 소행으로 단정 짓기는 이르다"고 말했다.
합수단은 또 "해킹 세력이 VPN 업체와 가입할 때 이용한 개인정보와 VPN 업체에 매달 이용료를 지급할 때 사용한 계좌 모두 불법 도용한 개인정보를 사용했다"며 "오랫동안 치밀하게 범행을 준비해온 것으로 보인다"고 밝혔다.