A government team of investigators said Monday they have requested the help of the Federal Bureau of Investigation (FBI) in the United States in locating a person who disclosed blueprints of two Korean nuclear reactors and other critical operational information.
The request comes after the team confirmed that the person used IP addresses in multiple locations including Korea, the U.S. and Japan.
A member of the team told reporters, "We are not sure whether the person himself hacked the website of the reactor operator, but we believe he is very skillful."
He said it will take a while to identify and locate him.
"We are focusing on finding the very first IP address used."
The team asked for the FBI cooperation as the person disclosed the information by links on his Twitter account, which was registered in the U.S.
It also confirmed that the ID that the person used to upload the files on a Naver blog originated in Daegu and was a stolen one.
At the same time, the investigators are trying to find out if the person stole the information alone or had accomplices, and if he himself really hacked the website of the Korea Hydro and Nuclear Power Corp. (KHNP) or any employee in the corporation was involved. The KHNP gave the investigation team access to its computers.
The team said it is not ruling out the possibility of North Korea's involvement.
The alleged hacker, who claimed himself a member of anti-nuclear power advocacy group "Who Am I?" from Hawaii, has leaked the information four times since Dec. 15.
In the latest disclosure, Sunday, he revealed the designs and manuals for two nuclear reactors ― the Gori-2 and the Wolsong-1 ― as well as the facilities' air-conditioning and cooling system via links to his Twitter account.
Previously he revealed the personal profiles of 10,799 KHNP officials and information on how to manage control software at the nuclear reactors on the Naver blog.
Despite the person's threat to reveal more information, the government said leaked information would not affect the safety of the nuclear plants.
Lee Kwan-sup, trade, industry and energy vice minister, said, "The information is the KHNP's assets, but it is not that critical nor confidential to result in any danger to the reactors."
The KHNP manages 23 nuclear reactors here. Korea relies heavily on nuclear power, which supplies almost 30 percent of its electricity.
Korean Language
"원전자료 유출범은 고도의 전문가…국내외 IP 사용"
합수단, 미국 FBI에 공조수사 요청…'北연계 가능성 배제 안해'
한국수력원자력의 원전 도면 등 유출 사건을 수사 중인 개인정보범죄 정부합동수사단(단장 이정수 부장검사)은 22일 유출범으로 추정되는 인물이 국내외 곳곳에서 IP를 사용한 사실을 파악하고 추적 중이다.
합수단 관계자는 이날 기자들을 만나 '유출범이 해커인지는 확인되지 않았지만 고도의 전문성을 지닌 것으로 판단된다'고 밝혔다.
이 관계자는 '전 세계적으로 IP가 왔다 갔다 하는 상황이어서 추적이 어려운 만큼 하루 이틀 안에 범인을 잡기는 어렵다'고 덧붙였다.
합수단은 범인으로 추정되는 인물이 유출 자료를 공개하는 글을 올리면서 사용한 IP가 우리나라와 일본, 미국 등지에 분산돼 있는 사실을 확인했다.
이 중 우리나라에서 사용된 IP가 가장 많지만 범인이 국내에 있다고 단정할 수는 없다는 게 합수단 측 설명이다.
수사진은 복잡한 IP 사용 흔적을 따라가며 유출범이 최초로 사용한 IP를 찾고 있다.
범인으로 추정되는 인물은 지난 15일부터 전날까지 4차례에 걸쳐 인터넷 포털사이트 개인 블로그와 사회관계망 서비스(SNS)인 트위터 등에 글을 올리고, 원전 도면 등 한수원 주요 내부 자료를 공개했다.
그가 지난 15일 블로그에 글을 올리면서 사용한 IP는 대구에 거주하는 사람의 아이디를 도용한 것으로 파악됐다. 아이디 도용 과정에서 악성코드가 사용된 흔적은 나타나지 않았다.
전날 게시된 트위터 글은 미국에서 등록된 계정을 통해 올린 것으로 확인됐다. 이에 따라 합수단은 미국 연방수사국(FBI)에 공조수사를 요청했다.
지난 19일 이 사건 수사에 착수한 합수단은 아직 피의자를 특정하지 못한 상태다. 단독 범행인지, 공범이 있는지 등도 수사가 더 진행돼야 윤곽이 잡힐 전망이다.
합수단 관계자는 '이번 사건이 한수원 내부 인사의 유출에 따른 것인지, 외부로부터의 해킹 때문인지 등은 확인되지 않았다'며 '북한과의 연관성도 확인되지 않았지만 가능성을 배제하지는 않고 있다'고 말했다.
합수단은 한수원 내부 관계자나 한수원 협력업체 직원에 의한 유출, 한수원 외부의 제3자에 의한 유출 등 3가지 가능성을 모두 열어 놓고 수사망을 좁히고 있다.
제3자 유출도 악성코드를 한수원 전산망에 심어 자료를 빼돌렸거나 해킹 수법을 동원했을 가능성 등 다양한 범행 시나리오를 염두에 두고 있다.
이날 합수단은 고리와 월성 원전에도 수사관을 보내 유출된 자료를 취급했던 한수원 직원과 협력사 관계자 등의 컴퓨터를 임의 제출받았다.
수사관들은 컴퓨터를 제출한 직원 등을 대상으로 자료가 작성된 시점과 관리 상황, 인터넷을 통한 외부 전송 여부 등도 조사하고 있다.
합수단은 H사 등 가상사설망(VPN) 서비스를 제공하는 업체들을 대상으로 한 수사도 벌이고 있다. 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화 기법을 제공하는 VPN은 IP를 위장하는 데 활용될 수 있다.
합수단은 VPN 업체가 서비스를 제공한 대상 중 이번 범행과 관련이 있을 만한 인물이 'IP 세탁'을 시도한 흔적이 있는지를 파악하고 있다. (연합뉴스)