검찰 “농협 전산망 마비 北소행” 결론

검찰이 농협 전산망 마비 사태 원인을 사실상 북한의 소행으로 잠정 결론을 내린 데는 최근 국방부로부터 제공받은 북한의 해킹 IP 목록 및 북한·중국 간 전산망 자료가 결정적인 도움이 됐던 것으로 2일 알려졌다.

검찰이 확보한 이 자료에는 북한이 최근 10여년간 우리 정부 및 주요기관의 웹사이트와 전산망 서버를 공격했던 IP 목록이 담겨 있다. 검찰은 2009년 디도스 공격 당시 수사에도 국방부 등 유관기관으로부터 자료를 받아 활용했다.

서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 지난달 12일 농협 전산망 마비 사태 발생 직후 원인이 내부 공격이 아닌 외부 해킹에 따른 것일 수 있다고 판단했다. 이 과정에서 과거 국방부 서버에 침투했던 북한 및 중국발 IP와 일치하는 접속 흔적이 드러나 북한의 개입 가능성에 초점을 맞춰 수사했다.

검찰은 최근 한국IBM 직원의 노트북에서 실행된 서버운영 시스템 삭제명령 프로그램을 분석한 결과 지난 2차례의 디도스 공격 때 발견된 악성프로그램의 구조와 작동 원리가 유사하다는 점을 확인한 것으로 알려졌다. 검찰은 농협 전산망이 자체 서버로만 운용됐을 경우 외부의 공격이 불가능했지만 전산망 서버와 연결됐던 IBM 직원의 노트북이 외부로 반출되는 등 전산망 운영 관리상 구멍이 있었기 때문에 악성코드가 침투했을 것으로 보고 있다.

검찰은 이런 분석 결과를 토대로 사실상 북한 측 해커가 중국 IP를 이용해 문제의 노트북에 삭제명령 파일을 심은 뒤 원격조종을 통해 농협 서버에 공격을 감행한 것으로 사실상 결론 내렸다. 검찰은 범행 주체와 사건 경위, 피해 규모 등을 정리한 수사결과를 3일 발표한다.

노석조 기자 stonebird@kmib.co.kr