[금융 전산망 구멍] “농협 서버실 출입 인물, 한달前 심은 프로그램으로 삭제명령”

농협 전산망 마비 사고는 지난 12일 오후 농협 IT본부 시스템 보안실 내 메인 서버 근처에 있던 사람의 삭제 명령으로 시작됐다. 삭제를 가능케 한 별도의 프로그램은 한 달 이전부터 제작되기 시작한 것으로 밝혀졌다.

서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 19일 농협 IT본부의 협조를 받아 삭제 명령을 내린 사람의 신원과 소속을 파악 중이다.

김유경 농협 IT본부 분사 전산경제팀장은 브리핑에서 “삭제 명령의 기술적 명령어 조합을 볼 때 (공격당한 서버가 있는 서울 양재동 농협 IT본부 내) 시스템 보안실에 들어와 있던 사람만이 내릴 수 있는 것”이라며 “외부에서 삭제 명령을 시도했다면 방화벽에 걸려 실패했을 것”이라고 말했다.

외부에서 해커가 삭제 명령을 원격 조정한 것이 아니고, 시스템 보안실 출입이 가능한 누군가가 직접 삭제 명령을 입력했다는 것이다. 김 팀장은 “시스템 보안실에는 농협 직원 50명, 협력업체 직원 20명 등 모두 70명만 들어갈 수 있다”고 설명했다.

검찰은 농협 서버를 공격한 프로그램이 한국 IBM 직원의 노트북 컴퓨터에 시간을 두고 단계적으로 설치됐다는 점을 확인했다. 문제의 노트북은 사고 당일 시스템 보안실 책상 위에 놓여져 있었다. 검찰 관계자는 “서버를 공격한 프로그램을 복구했는데 최소한 한 달 이전부터 제작돼 실행된 것”이라고 말했다.

이에 따라 검찰은 70명의 이름, 소속사, 사고 당일 근무 여부가 적힌 근무표, 개인별 농협 서버 접근 보안등급 내역 등을 확보해 용의자를 찾고 있다. 검찰은 이들의 이메일, 메신저, 문자메시지 내역도 확인 중이다.

검찰은 삭제 명령이 지난 12일 오후 4시56분 동시다발적 명령으로 실행된 것인지 아니면 노트북에 미리 설치된 프로그램을 통해 예약 실행된 것인지도 파악 중이다. 검찰은 여러 의혹을 확인하기 위해 이날 김 팀장을 참고인 자격으로 불러 조사했다.

이용훈 노석조 기자 cool@kmib.co.kr