농협 전산망을 마비시킨 외부 세력이 북한일 가능성도 있는 것으로 확인됐다.
사건을 수사 중인 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 서버 운영 시스템 삭제 명령이 실행된 한국IBM 직원의 노트북컴퓨터에서 출처가 의심스러운 중국발 인터넷 프로토콜(IP)이 여러 개 포착돼 경로를 역추적하고 있다고 26일 밝혔다.
검찰은 이 노트북컴퓨터에 접속 흔적을 남긴 수백 개 국내외 IP 가운데 중국에서 접속된 여러 개 IP를 발견하고 그 경로를 확인 중이며 이번 사태와의 연관성 여부를 캐고 있다.
검찰은 이들 가운데 일부가 북한에서 사이버 테러용으로 주로 쓰는 IP일 가능성도 있다고 보고 국정원 사이버테러대응센터와 공조 수사를 진행 중이며, 특히 2009년 발생한 `7ㆍ7 디도스(분산서비스거부) 대란` 당시 공격에 사용된 IP와 노트북컴퓨터에서 확인된 중국발 IP가 연관이 있는지를 면밀히 분석하고 있는 것으로 알려졌다.
검찰 수사 관계자는 "중국발 IP가 발견됐다는 사실만으로 이번 사태와 북한을 연관 짓기는 이르다"고 말했다. 다른 해커들이 중국을 경유해 농협 서버를 공격했을 가능성도 얼마든지 있다는 것이다.
다만 그는 "자료 분석과 수사에 있어 아직 가야 할 길이 멀며 여전히 모든 가능성을 열어 놓고 있는 상황"이라고 말해 북한이 아니라고 단정할 수 있는 상황도 아님을 시사했다.
검찰은 일단 문제의 노트북컴퓨터가 농협IT본부 외부에 반출된 상태에서 인터넷에 접속한 사실이 있음을 확인하고, 이 과정에서 좀비PC나 원격조종을 통해 삭제 명령 프로그램 파일이 노트북컴퓨터에 심어졌을 가능성이 있는 것으로 보고 있다. 검찰은 이번 사태를 초래한 삭제 명령 프로그램 파일에 대한 막바지 분석 작업을 벌이고 있다.
[매일경제 김동은 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]