“2009년 디도스 공격도 北보유 中서버가 근원지”

농협 전산망 마비 사고를 수사 중인 검찰이 북한 연루 가능성을 배제하지 않는 것은 공격명령이 실행된 한국IBM 직원의 노트북 컴퓨터에서 중국발 인터넷 프로토콜(IP)이 발견됐기 때문이다. 누군가 중국에 기반을 둔 IP를 통해 문제의 노트북에 접속을 시도했다는 뜻이다. 검찰은 ‘중국 IP=북한’으로 단정 짓지 않고 있지만 가능성 자체까지는 부인하지 않았다.

26일 검찰과 컴퓨터 보안업계 등에 따르면 북한은 곧장 남한으로 접속할 수 있는 인터넷 환경이 여의치 않아 중국 IP를 통해 다른 나라 컴퓨터와 접속한다. 물론 북한은 자국에 해킹 전용 IP를 가지고 있다. 하지만 국가정보원과 경찰청 등 우리 정부가 대부분 북한 IP를 파악해 방화벽을 쳐놓은 상태여서 이번 농협 사고가 북한 내 IP를 통해 이뤄졌을 가능성은 높지 않은 것으로 검찰은 보고 있다.

서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 2009년 7월 한국과 미국 주요 기관 등을 상대로 한 디도스 공격의 근원지가 북한 체신성이 중국에 갖고 있는 서버로 확인됐다는 경찰청 사이버테러대응센터의 당시 수사 결과를 참고하고 있다.

검찰은 한국IBM 직원의 노트북 컴퓨터에서 발견된 수백개의 국내외 IP 가운데 중국발 IP 여러 개의 접속 경로, 해당 IP가 과거 디도스 공격 때처럼 범죄에 사용된 적이 있는지 등을 확인하고 있다. 검찰은 이 노트북이 농협 IT본부 외부로 수차례 반출됐을 때 중국 발 IP를 통해 원격조종 방법으로 삭제 명령 프로그램이 노트북에 설치됐을 가능성도 수사 중이다.

지금까지 검찰이 소환 조사한 농협 내부 직원과 협력 업체 관계자 등은 하나같이 이번 사고와의 연관성을 부인하고 있는 것으로 알려졌다.

이용훈 기자 cool@kmib.co.kr