한국수력원자력을 목표물로 삼았던 원전반대그룹이 청와대·국방부·국정원으로 사이버심리전을 확대했다. 원전반대그룹은 4일 트위터에 해킹으로 빼낸 자료 열 건을 추가 공개했다. 청와대·국방부·국정원 관련 자료라 주장하는 문건 9개, 원전도면 한 건이다. 공개한 자료가 진본이라면 원전반대그룹은 청와대와 국정원, 국방부 등 핵심기관 정보망을 해킹했다는 추론이 가능하다. 강력한 대응 조직 구축은 물론 인력 보강이 급하다.
원전반대그룹은 4일 청와대 문건으로 보이는 ‘대통령비서실장과 대담결과’, 국방부 국방정보본부 해외정보부가 올린 ‘2013년 국제정세 평가 및 2014년 전망’, 국정원 보고로 보이는 ‘미국의 한반도 정책변화를 시사하는 징후 보고’ 등을 공개했다. 문건 진위 여부는 확인되지 않았다.
원전반대그룹은 트위터에 “청와대, 국방부, 국정원 기밀 자료를 통틀어(공개해) 전 세계를 경악케 해준다”며 협박했다.
정부는 지난해 12월부터 8개월이 되도록 북한으로 추정되는 해킹집단 사이버심리전에 속수무책이다. 정부합동수사단은 3월 17일 북한 해킹집단 소행으로 중간 수사 결과를 발표했다. 이후 합수단은 해당 트위터 계정을 삭제하는 대응에 머물렀다. 미국은 소니픽처스 해킹 사고 배후를 북한으로 지목한 뒤 인터넷망을 마비시키는 비례적 대응을 한 것과 비교된다.
한수원은 물론이고 청와대, 국방부, 국정원 등 정부기관은 언제 어느 기관에서 어떤 자료가 유출됐는지 파악조차 하지 못하고 있다. 이미 지난해 12월 초 한수원 업무망을 노린 하드디스크드라이브(HDD) 파괴 악성코드 배포 때도 국방부 파일이 쓰였다.
합수단은 FBI와 공조해 해커를 추적 중이라고 밝혔지만 8개월이 넘도록 원전반대그룹 정체에 대한 명확한 분석을 내놓지 못하고 있다. 대국민 사이버심리전에도 무방비 상태다.
이와 달리 원전반대그룹은 조직적으로 사이버심리전을 강화했다. 원전반대그룹은 트위터나 자료를 올리는 클라우드 서비스 차단을 미리 예측하며 지능적으로 움직인다. 합수단이 트위터를 차단하면 그동안 관련 기사를 보도한 기자에게 이메일을 보내 새로운 트위터와 자료 저장소 위치를 알린다.
7월 13일, 8월 3, 4일 원전반대그룹이 보낸 이메일 인터넷주소(IP) 위치는 일본으로 확인됐다. 원전반대그룹은 다음 메일 계정을 만들어 보도자료를 보냈다. 그들이 본인확인용으로 사용하는 메일은 핫메일이다. 세 건 모두 같은 핫메일 계정을 사용했다. 원전반대그룹은 자료를 올리는 인터넷 서비스도 국내외 수사팀과 공조가 잘 되지 않은 ‘위키샌드’나 ‘티니업로드’ 등을 이용하며 차단을 회피한다.
한 대북전문가는 “원전반대그룹은 해킹팀과 사이버심리전팀이 별도로 조직돼 일사불란하게 움직인다”며 “사이버심리전팀이 성과를 극대화하기 위해 마치 보도자료 배포하듯 오전에 기자에게 이메일을 보내 기사 작성을 유도한다”고 설명했다. 그는 “원전반대그룹은 정부와 협상을 원한다는 글을 지속적으로 올리며 명분을 세운다”며 “한수원에 이어 청와대·국방부·국정원 자료까지 공개하며 심리전 극대화를 노린다”고 덧붙였다.
사이먼최 이슈메이커스랩 대표는 “한수원에서 자료를 빼낸 킴수키 조직은 2010년부터 계속 활동해 이미 국내 여러 기관에서 자료를 유출했을 것”이라며 “러시아 카스퍼스키랩이 정체를 공개한 2013년 가장 활발히 활동했고 그 이후에도 끊임없이 공격을 감행한다”고 설명했다.
[표]원전반대그룹 활동 일지
김인순기자 insoon@etnews.com