북한식 표현 사용 배경에 관심…추적회피용 위장 의도일 수도
작년 말 한국수력원자력을 해킹해 원전 도면 등을 공개하며 위협했던 해커가 석 달여만에 다시 등장하면서 북한식 표현을 사용해 그 배경에 관심이 쏠린다. 청와대는 이번 자료 공개를 북한 소행으로 보고 있어 사실로 밝혀질 경우 후폭풍이 만만치 않을 것으로 보인다.
13일 한국수력원자력 등에 따르면 자신을 ‘원전반대그룹 미.핵’이라 밝힌 트위터 사용자는 전날 ‘대한민국 한수원 경고장’이라는 제목의 글을 트위터에 올리면서 ‘통채’, ‘대통령 통화요록’이라는 표현을 썼다.
이 해커는 “북유럽과 동남아, 남아메리카 여러 나라에서 원전자료를 사겠다고 하는데 자료를 통채로 팔았다가 박 대통령의 원전 수출에 지장이 될까 두렵다”고 말했다. 또 공개한 박근혜 대통령과 반기문 유엔 사무총장과의 통화 녹취록 제목에는 ‘통화 요록’이라는 단어가 표기돼 있다.
해커가 사용한 ‘통채’는 ‘통째’를 의미하는 북한식 단어고 ‘요록’이라는 단어도 ‘간추린 목록’이라는 의미의 북한식 표현이다. 이를 두고 일각에서는 ‘원전반대그룹’이 북한 해커 조직이며 이번 자료 냐는 해석을 내놓고 있다.
앞서 원전반대그룹은 작년 말 트위터 글을 통해 원자력연구소 사이버테러를 협박할 당시에도 시치미를 떼고 모른척 한다는 뜻의 ‘아닌 보살’을 사용한 바 있다. 그동안 정부합동수사단은 수사결과 원전반대그룹이 북한과 가까운 중국 선양 지역에서 300회 이상 IP에 접속한 점을 확인, 북한 소행 가능성을 배제하지 않고 수사를 벌여왔다.
이경호 고려대 정보보호대학원 교수은 이날 오전 YTN 라디오에 출연해 “북한 소행일 가능성을 배제하지 못한다”며 “올해 북한 노동당이 5월 초까지 약 5개 부서에서 3000만불, 총 1억 5000만불의 외화를 벌어들여야 하기 때문에 외화벌이를 담당하는 중국 쪽의 회사에서 해킹을 시도했을 수 있다”고 말했다.
청와대 일부에서도 북한 소행설에 무게를 싣고 있다. 임종인 청와대 안보특보는 전날 한 언론과의 인터뷰에서 “이번 해킹은 김기종씨 (마크 리퍼트 주한 미국대사 피습) 사건에 대한 (여론의) 관심을 돌리기 위한 북한의 소행으로 보인다”고 밝히기도 했다.
하지만 해커가 정체를 숨기기 위해 의도적이고 계산적으로 북한식 표현을 사용했을 가능성도 높다. 사이버 공격을 북한의 소행으로 위장해 주기 위한 의도가 숨겨있다는 주장도 있다. 또 작성자가 북한식 어투와 비슷하게 사용하는 중국 동포일 가능성도 배제할 수 없다.
이날 오전 CBS 라디오에 출연한 서균열 서울대 원자핵공학과 교수도 “북한이 이렇게 해서 얻을 수 있는 것은 아무것도 없다”며 “경우에 따라 우리 원전산업이 제대로 가게 되기를 바라는 어떤 충정을 표현한 것일 수 있어 북한이나 중국이 아니고 내부(소행)일 수도 있을 것”이라는 견해를 밝혔다.
한편 산업통상자원부와 한수원은 이번 원전 자료공개 사태를 ‘사이버심리전’으로 규정짓고 해킹 등 원전안전 위협 징후가 없는 만큼 해커의 전략에 말려들지 않도록 차분히 대응키로 했다.
산업부 관계자는 “전날 공개된 12종류의 자료는 한수원이 분석하고 있으며 합수단이 수사를 진행 중”이라면서 “작년 말 이후 추가로 해킹을 당한 흔적이 발견되지 않았고 원전의 안전에 위협이 될 만한 징후도 아직은 없기 때문에 이미 구축한 비상대응체계에 따라 차분하게 안전 점검을 계속해 나할 방침”이라고 말했다.
한수원도 전날 해커가 트위터에 자료를 공개한 직후 조석 사장 주재로 긴급점검회의를 열어 사이버보안 시스템을 점검하고 원전의 정상가동 여부를 점검했지만 이상 징후가 발견되지 않은 것으로 전해졌다.