대통령까지 나서 원전 자료 유출을 국가적 안보문제로 규정하고 배후를 밝힐 것을 촉구하면서 자료 유출 경로와 범인을 추적하는 이번 사건 수사에 더욱 힘이 실릴 것으로 보인다.
하지만 국가보안시설의 자료를 유출해 공개 위협하는 범인의 정체에 대해서는 아직 북한 배후설, 내부자 유출설, 자기과시형 해커 등의 각종 설만 무성할 뿐 실체를 유추할 만한 증거는 찾지 못한 상태다.
유출 자료들을 그림파일로 만들어 블로그와 트위터에 올리면서 'WHO AM I?'라는 문구를 집어넣어 '후엠아이(WHO AM I)'로도 불리는 자료 유출자는, 스스로를 '원전반대그룹'으로 지칭해 한때 원전에 반대하는 환경단체로 보는 시각이 많았다.
하지만 사건이 진행되는 과정에서 대놓고 국민의 안전을 위협하거나 금전적 이익을 목적으로 삼는 듯한 상식 밖의 언행을 일삼으면서 이들을 환경단체로 보는 시각은 거의 사라졌다.
이헌석 에너지정의행동 대표는 24일 "더 나은 국민의 안전을 목표로 삼아야 하는 환경단체가 목적을 이루기 위해 도리어 국민의 안전을 위협하는 모순적인 언행을 하는 것은 있을 수 없는 일"이라며 "이들을 환경단체로 보기는 어렵다"고 말했다.
이번 사건의 피해자인 한국수력원자력이나 개인정보범죄 정부합동수사단은 아직 자료 유출이 해킹에 의한 것인지에 대해서도 물음표를 떼지 못하고 있다.
다만 유출 자료를 공개하기 전에 있었던 한수원 PC에 대한 사이버 공격에 쓰인 악성코드의 수준이나, 국내외 곳곳에 IP를 분산함으로써 추적을 피하는 수법 등을 고려할 때 자료 유출자가 상당한 수준의 해킹 기술을 보유한 것은 사실인 것으로 드러나고 있다.
정보보안업체 하우리 관계자는 "9일 사이버 공격 때 사용된 악성코드는 북한의 소행으로 알려진 지난해 3·20 및 6·25 사이버 테러의 수준을 능가한다"고 말했다.
이번 사건의 배후로 북한을 의심하는 시각이 많다.
그 주된 근거로는 이들이 21일 네번째 유출 자료 공개 때 트위터에 올린 글에 등장하는 '청와대, 아직도 아닌 보살'이라는 표현을 북한에서 많이 쓴다는 점이 거론된다.
하지만 이는 북한의 소행인 것처럼 보이려고 얼마든지 꾸밀 수 있고, 확인된 악성코드가 여지껏 북한이 사용했던 것과 일치하지 않아 단정하기 어렵다는 반론도 있다.
자체 조사를 벌이고 있는 한수원은 아직 뚜렷한 해킹의 흔적이 발견되지 않았다는 점을 들어 내부자에 의한 자료 유출 가능성도 있는 것으로 보고 있다.
정부합동수사단도 이 같은 가능성을 열어두고 조사를 진행 중인 것으로 알려졌다.
공개된 원전 도면이나 원전 프로그램을 캡처한 그림파일 가운데 일부는 해외 원전 관련 웹사이트 등에서도 어렵지 않게 구할 수 있는 것들로 파악되고 있다.
특히 원전에서 빼냈다고 공개한 자료 중 일부가 앞서 9일 한수원 PC에 대한 사이버 공격 때 사용된 이메일의 첨부파일로도 쓰인 것으로 보안업계에서는 보고 있다.
이는 자료 유출자가 원전 PC에 악성코드를 심기 위해 이메일을 받은 원전 직원들이 첨부파일을 열어보도록 관심을 끌고자, 사전에 원전 관련 자료를 확보해 미끼로 사용했을 가능성이 있음을 의미한다.
해커가 단순히 자기과시를 위해 해킹 사건을 벌이는 경우가 많은 점에 비춰볼 때 이번 사건도 유사한 사례에 해당할 수 있다는 분석도 나온다.
실제로 이번 사건의 경우 자료 유출자가 원전 자료의 공개 사실을 스스로 언론에 알려 사회적 이슈로 만들기 위해 애를 쓴 정황이 발견된다.
트위터에 올린 글에서 발견되는 다분히 선정적이고 과장된 듯한 표현들이 강한 자기과시 욕구를 반영한 것으로 보는 시각도 있다.
보안업계 한 관계자는 "해킹으로 사회적 혼란을 조장하고 사람들이 이를 두려워하는 것을 즐기는 해커들의 범죄가 적지 않은 것이 사실"이라고 말했다.
이어 "현재로서는 어느 것도 확신할 수는 없기 때문에 추가 증거가 나올 때까지는 기다려야 봐야 할 것"이라고 덧붙였다.