검찰이 농협 전산망 마비가 북한의 소행일 가능성에 무게를 두고 농협 IT본부의 서버와 ‘삭제(rm)명령’이 내려진 한국IBM 직원의 노트북에서 발견된 중국발(發) IP 주소의 경로를 역추적하고 있다. <중앙일보 4월 26일자 1면>
이 사건을 수사 중인 서울중앙지검 첨단범죄수사2부(부장 김영대)는 삭제명령이 내려질 당시 접속 흔적을 남긴 수백 개의 국내외 IP주소 가운데 일부가 중국으로부터 유입된 사실을 확인했다고 26일 밝혔다. 검찰은 특히 이들 IP주소가 ‘7·7 디도스(DDoS·분산서비스거부) 공격’ 당시 사용된 IP주소와 유사한 것인지 면밀히 분석하고 있다.
‘7·7 디도스 공격’은 2009년 7월 7~9일 61개국에서 435대의 서버를 이용해 우리나라와 미국 주요 기관 35개 사이트를 마비시킨 사건이다. 같은 해 10월 원세훈 국가정보원장은 “공격에 이용된 IP주소가 중국 인터넷망을 빌려 쓰는 북한 체신청의 것으로 확인됐다”고 밝힌 바 있다.
검찰 관계자는 “현재는 모든 가능성을 열어 두고 서버와 노트북에 남아있는 IP주소 추적과 파일 분석에 집중하고 있다”며 “북한이 관련돼 있을 가능성도 열어 두고 있지만 아직 명확하게 밝혀진 것은 없다”고 말했다. 검찰은 이들 IP주소가 수시로 국내 주요 전산망에 접근하는 북한의 ‘해킹용 IP’일 가능성을 염두에 두고 국가정보원 사이버테러대응센터와 공조 수사를 진행하고 있는 것으로 알려졌다.
삭제명령이 내려진 스크립트(명령어 조합으로 이뤄진 프로그램)에 대한 검찰의 분석 작업도 마무리 단계에 들어가 조만간 구체적인 공격 과정의 윤곽이 드러날 것으로 보인다. 검찰 관계자는 “모든 자료 분석은 빠르면 1~2주가량 걸릴 것으로 보인다”고 말했다. 검찰은 자료 분석과 함께 농협 IT본부 및 한국IBM 직원들을 참고인 자격으로 불러 조사하고 있다. 지금까지 검찰이 소환한 직원은 30명 안팎이다.
이번 농협 전산망 공격은 ‘7·7 디도스 공격’과 비교하면 훨씬 더 치밀하고 교묘한 수법이라는 게 전문가들의 지적이다. 보안업계 관계자는 “디도스 공격이 대량 접속을 유발해 특정 사이트를 마비시키는 데 반해 농협 전산망 마비사태와 같이 특정 전산망에 침투해 삭제명령을 담은 프로그램을 실행시키는 것은 더 높은 수준의 해킹 능력을 갖춰야 가능한 일”이라고 말했다.
지금까지 수사 결과 드러난 사실을 종합해 보면 범인은 공격 전 농협 전산망의 내부구조를 파악한 다음 순차적 공격명령을 담은 스크립트를 작성했다. 이어 이동통신망이나 무선인터넷 등을 통해 이 프로그램을 협력업체인 한국IBM 직원의 노트북 컴퓨터에 이식한 뒤 원격으로 명령을 실행한 것으로 추정된다. 범인은 공격 후 침입 경로와 로그기록을 삭제하는 치밀함도 보인 것으로 분석되고 있다.
이동현 기자
◆IP=Internet Protocol(인터넷 프로토콜)의 약자. 인터넷상의 컴퓨터 사이에 데이터를 보내는 데 사용되는 통신 규약이다. 인터넷에 연결돼 있는 컴퓨터들은 다른 컴퓨터와 구별될 수 있도록 1개 이상의 고유한 IP주소를 갖는다.
