21일 보안전문가들에 따르면 이번 한수원 내부자료 유출사건이 지난해 3월 20일 KBS와 MBC, YTN 등 주요 방송사와 신한은행, 농협 등 금융기관의 인터넷 웹사이트가 마비된 사태와 유사한 공격형태를 띠고 있다. 이에 따라 북한 소행이라는 의견도 힘을 얻고 있다. 당시 3·20 사이버테러는 북한정찰총국 소행으로 추정된다는 수사 결과가 발표된 바 있다.
지난 15일 처음 한수원 내부자료를 공개한 범인은 스스로 '원전반대그룹'이라고 밝히면서 이날까지 총 네 차례에 걸쳐 자료를 공개했다. SNS(소셜네트워크서비스) 트위터를 통해 자신이 해킹으로 얻은 핵심 정보들을 공개하겠다며 원전가동 중단 등을 요구하고 있다.
보안업계에서는 지난 8일 한수원 일부 임직원이 받은 악성코드가 담긴 이메일이 공격 시발점일 수 있다고 의심하고 있다. 한글파일 형식으로 발송된 해당 악성코드는 하드디스크에 저장된 자료를 외부로 유출하면서 하드디스크를 더이상 사용할 수 없게 만든다.
한 보안전문가는 "한수원 공격의 시발점이 된 것으로 의심받는 악성코드를 보면 소스코드가 3·20 사태 등과 매우 유사하다"며 "해킹 공격을 알리고, 협박하는 시나리오들도 북한 소행으로 의심할만하다"고 설명했다.
트위터를 통해 공격을 알리면서 사용한 '청와대, 아직도 아닌 보살'이라는 표현도 북한 소행으로 볼 수 있는 요소라고 지목했다. 이는 북한에서 주로 쓰는 표현으로 '시치미를 뗀다'는 의미다.
한수원 등은 망분리가 되어있어 이메일을 통한 외부 공격이 내부 폐쇄망에 접속하기 어렵다고 반박하지만, 보안전문가들은 해당 악성코드가 폐쇄된 내부컴퓨터로 옮겨갔을 가능성을 100% 배제할 수는 없다고 말한다. 특히 지난 9월 한수원 직원들이 내부 전산시스템 계정을 외부 용역업체와 공유한 사건 등을 볼 때 내부보안관리가 완벽하지 않았을 것이라는 의혹이 크다.
전문가들은 해당 악성코드를 담은 이메일이 한수원 뿐 아니라 정유 등 주요 기간시설을 담당하는 공기업을 중심으로 퍼진 정황을 볼 때 추가 피해 우려가 있다고 말한다.
한 보안업계 관계자는 "현재 정부는 '개인정보범죄정부합동수사단'이라는 이름으로 조사 중인데 이는 이번 사건을 단순히 '개인정보유출'로 본다는 인식을 담은 것"이라며 "기간산업에 대한 사이버테러 징후로 보고 보다 강력하게 대처해야한다"고 강조했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]