檢 “농협 전산망 외부서 해킹 당해”

농협 전산망 마비 사태를 수사 중인 서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 20일 “농협 서버를 공격한 경로가 외부 침입인 것으로 보인다”고 밝혔다. 이와 관련 농협이 2008년에도 해킹을 당했으나 해커와 합의해 일을 무마했던 사실도 드러났다.

검찰 관계자는 이날 “농협 서버 공격에 이용된 한국IBM 직원의 노트북, 그 외 농협 전산망 등 여러 곳에서 외부 침입 흔적이 상당수 발견됐다”며 “외부에서 해킹을 당했다고 볼 수 있다”고 말했다. 검찰 수사는 외부 해킹 쪽으로 방향을 잡아가고 있는 것이다. 다만 검찰은 주된 범행 방식이 외부 해킹이더라도 농협 직원 또는 서버관리 협력업체 직원이 어떤 식으로든 연루됐을 가능성을 배제하지 않고 있다. 검찰 관계자는 또 “농협 서버를 공격한 프로그램의 성격, 생성 시기, 기능 등을 분석하고 있는데 공격 방식이 간단치 않아 기술적 분석에만 2~3주가량 걸릴 것”이라고 말했다. 검찰은 금융보안연구원 등 3~4개 유관 전문기관과 공조키로 했다.

검찰은 농협 서버 삭제명령 프로그램이 사고 당일인 지난 12일 오전 8시쯤 생성돼 오후에 일제히 실행된 사실을 확인하고 해당 프로그램의 전반적인 구동 과정을 파악 중이다. 검찰은 서버 공격의 통로가 된 한국IBM 직원 한모씨의 노트북이 농협 IT본부 시스템 보안실 외부로 여러 차례 반출된 것으로 드러남에 따라 해당 노트북을 접촉한 다른 사람이 있는지 등을 수사하고 있다.

한편 정종순 농협 IT 분사장은 국회 농림수산식품위에서 ‘2008년에 해킹을 당해 돈으로 무마한 적 있느냐’는 한나라당 강석호 의원의 질문에 “과거 해킹을 당했던 사실이 있다. 사회적 파장을 고려해 합의로 끝낸 것으로 안다”고 답했다.

이와 함께 농협이 전산시스템 비밀번호를 허술하게 관리해 왔고 지난해 11월 금융감독원으로부터 이 같은 사실을 지적받았던 것으로 나타났다. 미래희망연대 김혜성 의원이 입수한 ‘금감원 농협중앙회 검사결과’ 문서에 따르면 농협은 3개월마다 15자리 계정 비밀번호를 바꿔야 하는 규정에도 불구하고 6년 9개월간 한번도 바꾸지 않았다. 시스템 설치 때 소프트웨어 업체가 걸어둔 ‘10000’ 같은 비밀번호도 그대로 사용했다.

농협 사고를 계기로 서버관리를 외주업체에 맡긴 다른 시중은행의 발걸음도 빨라지고 있다. A은행 관계자는 “이번 일을 계기로 보안 시스템을 통째로 점검하고 있다”며 “아이디와 패스워드 관리체계를 재점검하고 데이터베이스 백업 테스트도 수차례 진행했다”고 말했다. 협력업체 직원 출입 절차는 물론 노트북 지급 현황과 직원별 계정 권한도 집중 점검했다.

이용훈 강준구 기자 cool@kmib.co.kr