합수단은 해킹 조직 일원으로 추정되는 원전반대그룹(Who Am I?)이 한수원의 내부 자료를 유출하면서 사용한 네이버 ID의 가입자 정보를 토대로 지난 21일 가입자의 대구 주소지 등에 수사관을 보내 컴퓨터와 서버를 수색, 해당 ID가 도용된 것을 확인했다.
이에 합수단은 해커가 사용한 것으로 의심되는 네이트 ID에 대한 추적에도 나서는 한편, IP 우회 접속 가능성도 열어 놓고 실제 유출 자료를 블로그에 게재하는 데 사용된 ID의 접속 장소를 점차 좁혀가고 있다.
해킹 조직 일원으로 추정되는 한 트위터 사용자가 21일 자신을 ‘원전반대그룹 회장’이라고 밝힌 뒤 추가 폭로를 예고한 것과 관련해서는 미국 사법당국에 국제공조수사를 요청한 상태다. 하지만 해당 트위터 계정이 해외에 서버를 둔 이메일 주소로 만들어진 것으로 알려져 추적에는 다소 시간이 소요될 것으로 보인다.
아울러 합수단은 원전 설계도가 유출된 부산 기장군 고리원전과 경북 경주시 월성원전 직원들의 컴퓨터를 임의제출 받아 분석 중이다. 해당 원전의 관련자들을 불러 원전 내부 보안 시스템 및 보안 관련 규정 등도 조사하고 있다.
특히 합수단은 직원들의 컴퓨터 일부가 악성 프로그램에 감염돼 이른바 ‘좀비 PC’로 활용된 흔적을 포착한 것으로 전해졌다. 좀비 PC를 이용한 해킹은 지난해 방송사와 금융기관 등의 전산망을 마비시킨 ‘3·20 사이버테러’ 당시 북한 정찰총국이 사용했던 수법이다.
또 트위터를 통해 추가 유출을 경고한 트위터 사용자가 공격을 알리면서 ‘청와대, 아직도 아닌 보살’이라는 표현을 사용한 것 역시 이번 해킹을 북한의 소행으로 추정할 수 있는 근거 중 하나로 꼽히고 있다. ‘아닌 보살’은 북한에서 ‘시치미를 뗀다’는 뜻으로 주로 쓰이는 것으로 전해진다.
이에 대해 합수단 관계자는 “북한과의 관련 가능성은 배제하지 않고 있다”고 말했다.
