[北, 농협 사이버 테러] 악성코드 암호, ‘디도스’ 때와 45자리 영어·숫자 일치

농협 전산망 마비 사태는 북한 정찰총국 산하 해커집단이 유포한 악성코드에 감염된 한국IBM 직원 노트북에서 공격 프로그램이 가동되면서 시작됐다. 검찰은 범행의 궁극적인 진원지가 북한이라는 근거로 공격 프로그래밍 수법과 인터넷 프로토콜(IP)이 과거 북한 공격 당시와 일치한다는 점을 들었다. 또 해당 노트북의 맥어드레스(노트북 무선랜카드 고유번호) 역시 북한에 의해 조종돼 온 좀비PC와 같다는 게 드러났다.

◇7개월간 치밀하게 준비한 농협 전산망 공격=검찰 수사 결과에 따르면 이번 사태의 발원지로 지목된 한국IBM 직원 한모씨의 노트북은 지난해 9월 4일 오후 11시쯤 한 웹하드 사이트에서 악성코드에 감염됐다. 이 악성코드는 2개월 전 북한 해커집단이 시스템 업데이트 프로그램으로 위장한 것이었다. 이때 퍼진 악성코드에 감염된 국내 PC는 수천대에 이른다. 이 중 국가기관, 금융기관 등의 PC 201대가 북측의 선별관리 대상이 됐다.

해커집단은 악성코드에 감염된 ‘좀비PC’들의 데이터를 분석하다 한씨 노트북을 발견, 집중 관리했다. 지난 3월 11일 오후 6시에는 ‘백도어(Backdoor)’라는 해킹 프로그램을 설치한 뒤 도청 프로그램까지 사용해 한씨의 일거수일투족을 감시했다. 빼낸 정보는 A4용지로 1073장 분량이다. 검찰 관계자는 3일 “농협 서버가 마비될 때 ‘이거 어떻게 된 거야. 조치해’라고 했던 직원 말까지 해커가 들었을 것”이라고 말했다. 극소수 직원만 가진 최고접근권한의 비밀번호도 이렇게 빠져나갔다.

좀비PC가 된 노트북에 공격명령 파일이 설치된 건 사태가 발생한 지난달 12일 오전 8시20분쯤이었다. 해커들은 그날 오후 4시50분 원격조종으로 공격명령 프로그램을 실행했다. 이때부터 서버 운영 시스템 파괴가 시작됐다. 공격은 1·2·3차로 진행됐고 서버 587대 중 273대를 파괴했다. 해커들은 공격실행 30분 뒤 악성코드를 삭제해 침입 흔적을 없앴다.

◇북한 소행 근거는=우선 이번 농협 사태에 사용된 공격 프로그래밍 수법이 7·7 및 3·4 디도스 공격 당시와 거의 일치한다는 게 검찰의 판단이다. 악성코드를 분석하지 못하도록 한 암호 코드 키의 대부분이 일치한 것이다. 일부는 45자리 숫자와 알파벳 등으로 이뤄진 코드까지 같았다.

검찰 관계자는 “암호 45자리가 동일할 확률은 거의 없다”고 말했다. 또 삭제 대상 파일 30여개의 파일 확장자(doc, zip)는 종류뿐 아니라 순서도 3·4 디도스 당시와 100% 일치했다.

검찰과 국가정보원은 악성코드 유포 경로 및 설치 방법도 과거와 유사하고, 특히 한씨 노트북에서 발견된 27개의 IP 중 1개가 3·4 디도스 당시 IP와 일치한다는 점도 북한이 범행 주체라는 근거로 들었다.

일부는 북한 정찰총국이 사용해온 IP였다. 검찰은 각각 다른 해킹 공격에서 같은 IP가 발견될 확률은 43억분의 1에 불과하다고 설명했다. 검찰은 이와 함께 한씨 노트북의 맥어드레스가 북측의 악성코드에 감염된 201개 PC의 맥어드레스 중 하나로 드러났다고 설명했다.

노석조 기자 stonebird@kmib.co.kr