서울중앙지검 첨단범죄 수사2부 김영대 부장검사가 3일 서울 서초동 중앙지검 브리핑실에서 농협 전산망 장애사건 수사결과를 발표하고 있다. 사진은 검찰이 농협에서 확보한 서버 접속내용을 보여주는 모니터에 브리핑 장면이 반사된 모습. [연합뉴스]
서울 양재동 농협 IT본부에서 서버를 관리하는 협력업체(한국IBM) 직원인 한모씨의 노트북이 ‘좀비PC’로 변한 것은 지난해 9월 4일이었다. 한씨는 무심코 S 웹하드 사이트에 회원 가입을 했다. 가입과 함께 사이트 내 웹하드 업데이트 프로그램으로 위장돼 있던 악성코드가 한씨의 노트북에 자동 설치됐다.
북한 정찰총국의 농협 전산망 타격 계획이 시작된 것은 이때부터라는 게 검찰과 국가정보원의 설명이다. 문제의 악성코드는 정찰총국에서 관리하는 북한 해커들이 국내 PC들을 대량으로 좀비PC로 만들기 위해 유포시켰다는 것이다. 자신들이 감염시킨 좀비PC 가운데 하나가 농협 서버관리자 권한을 갖고 있다는 사실을 알게 된 이들은 이후 7개월에 걸친 공격 준비에 들어갔다. 올 3월까지 한씨의 노트북에 키보드 입력 내용을 낚아채는 키로깅(keylogging) 프로그램과 백도어 프로그램, 화면 캡처 및 도청 프로그램까지 설치해 나갔다.
국정원이 이 악성코드와 북한의 연관성을 파악한 것은 이즈음이었다. 올해 3·4 디도스 공격 직후 지난해 9월에 유포된 악성코드와 디도스 공격 지령의 암호화 방식이 동일하다는 결론을 내린 것이다. 국정원은 당시 좀비 PC로 이용되는 200여 개의 ‘맥어드레스’ 리스트를 확보했으나 구체적으로 어떤 PC인지는 파악하지 못한 상태였다.
북한 해커들은 서버접속권한을 가진 한씨의 노트북을 통해 농협 전산망 구조를 파악했다. 전산망 마비 직전 한 달 동안 키로깅을 통해 빼간 정보만도 A4 용지 1073페이지 분량에 달했다. 해커들은 3월 22일 파일 삭제 프로그램을 노트북에 설치했고, 공격 당일인 4월 12일 오전 8시20분 공격 명령 파일도 심었다.
같은 날 오후 4시50분 원격으로 공격 명령이 실행됐다. 동시에 서울 양재동 IT본부의 IBM 중계서버 데이터들이 사라졌고, 경기도 안성의 재해복구용(DR) 서버 데이터까지 삭제됐다. 농협 서버 관리자들이 서둘러 서버 전원을 차단했지만 북한 해커들은 노트북에 남아 있던 악성코드와 공격 흔적마저 지우고 접속을 끊은 후였다.
검찰과 국정원은 자료 분석 끝에 ▶디도스 공격 때와 암호화 및 프로그램 기법이 동일하고 ▶국정원이 확보한 북한발 좀비PC 맥어드레스 리스트에 이 노트북이 포함돼 있으며 ▶북한 정찰총국의 ‘해킹용 IP’ 접속 흔적이 있음을 확인했다. 악성코드와 3·4 디도스 공격, 농협 사이버 테러 사이의 연관성이 확인된 것이다. 검찰 관계자는 “이번 사이버 테러는 자본주의 사회의 기간시설인 금융기관 시스템 자체를 파괴하려는 시도로 보인다”며 “관공서와 대기업 등 국가 전산망 어느 곳이든 유사한 공격이 있을 수 있다는 점에서 국가안보에 심각한 위협이 될 수 있다”고 지적했다.
이동현 기자
◆맥어드레스=MAC(Media Access Control) Address의 약자. 컴퓨터나 스마트폰 등 네트워크 통신이 가능한 디지털 기기 랜카드에 부여되는 고유 식별주소다.
◆백도어=시스템에 불법 침입하기 위해 만들어놓은 뒷문(backdoor)을 의미한다. 백도어가 설치되면 해커는 관리자 몰래 정보를 유출할 수 있다.
