하와이에 있다며 '北' 냄새 솔솔…원전반대행동 누구?

원전가동 중단을 언급하고 있는 자칭 해커집단 이른바 '원전반대행동'이 '2차 파괴'를 예고한 성탄절을 앞두고 정부합동수사단이 해당 IP 발신지로 중국을 지목했다. 당초 합수단은 부산에서 접속기록을 찾았던 터라 수사망이 좁혀지기는 커녕 분산되는 양상이다.

23일 밤 5번째로 한수원 내부자료를 공개한 원전반대행동은 미국 하와이에 있다고 주장하고 있다. 하지만 북한이 연동된 듯한 징후를 '보란 듯' 게시글 곳곳에 배치하며 정부 대응을 교란하고 있다.


중국 IP가 확인되는 등 원전반대행동의 북한 연루설은 징후가 상대적으로 강하다는 분석이 나온다. 반면 사회혼란을 조장하고 추가 해킹 타이밍을 마련하기 위해 일부러 징후를 흘린다는 해석도 함께 대두되는 상황이다.

이들은 네 번째 자료유출 당시 트위터에 한수원을 조롱하는 글을 올리며 "청와대, 아직도 아닌 보살"이라는 표현을 썼다. '아닌 보살'은 시치미떼고 아닌 척 한다는 의미로 남한보다는 북한에서 많이 사용되는 표현이다.

악성코드에 감염되면 화면에 'who am I' 라는 글이 보이는 설정이 최근 해커들의 트렌드와는 다소 거리가 있다는 분석도 북한 연루설을 뒷받침한다. 한 정보보안 전문가는 "해당 코드를 작성하기 위해서는 어셈블리언어에 정통해야 하는데 정보를 빼내는 것이 최우선 목표인 최근 해커들은 대부분 이걸 배우지 않는다"며 "독특한 인터넷 환경에서 훈련받은 해커들의 특성으로 보인다"고 말했다.


23일 이뤄진 5차 정보공개 시점도 공교롭다. 북한 내 인터넷 망은 23일 오전 모두 다운됐던 것으로 전해지고 있다. 오후 들어 인터넷망이 복구됐는데 잠잠하던 원전반대행동이 북한 인터넷망 복구 이후 5차 정보공개를 단행했다.

한수원 자료유출이 정말 해킹을 통해 이뤄졌다면 군사작전을 방불케 하는 대규모 작업 없이는 이뤄지기 어렵다는 분석도 북한 연루설에 설득력을 더한다. 원전반대행동이 주장하는 원전 '2차 파괴'가 원전 중단 등 물리적 타격을 의미한다면 이 역시 한두명의 인력으로는 시도조차 할 수 없는 일이라는 것이 전문가들의 분석이다.

그러나 지나치게 강력한 징후가 오히려 당위성을 약화시킨다는 분석도 만만찮다. 북한의 소행인 양 포장하려는 의도일 수 있다는 것이다. 확인된 악성코드는 그간 북한이 사용한 것과 일치하지 않는다. 특히 한수원이 해킹 흔적을 발견하지 못한 상황이어서 북한의 대규모 해커들이 한수원 해킹에 성공했다는 해석은 오히려 원전반대행동의 교란전술에 말려드는 흐름일 수 있다.

북한 연루설, 대규모 공격설 등이 모두 원전반대행동의 사전 포석일 수도 있다. 임종인 고려대 정보보호대학원장은 최근 방송에서 "해커라면 오히려 정부와 한수원이 사이버훈련을 하는 과정에서 망을 연결해보고 작동해보는 순간을 노리고 있다가 치고 들어갈 수 있다"고 말했다. 사회적 혼란을 틈타 오히려 추가적 해킹을 단행할 수 있다는 의미다.

또 사전에 원전자료를 일부 입수한 원전반대행동이 한수원 직원들의 관심을 끌어 이메일을 통해 악성코드를 살포하기 위해 사전에 자료를 미끼로 공개했을 가능성도 배제할 수 없다.

다른 정보보안 전문가는 "원전반대행동은 해커 특유의 과시욕을 강하게 보여주는 한편 북한 징후를 흘리고 미국과 돈을 언급하는 등 추적을 교란하려는 양면적 태도를 취하고 있다"며 "사회혼란을 보고 즐기는 수준에 그칠지 실질적인 원전 피해가 있을지를 지켜본 후에 판단해야 할 것"이라고 말했다.

4차 유출에서 공개된 한수원 도면