지난달 12일부터 사상초유의 전산망 마비 사태를 일으킨 농협 사태는 ‘북한의 사이버테러’ 때문이라는 게 검찰 수사의 결론이다. 하지만 이번 조사에 대해 관련 업계는 정확한 증거 없이 단순 정황 위주로 북한의 소행이라고 단정을 짓는 것은 문제가 있다는 지적이다.
서울중앙지검 첨단범죄수사2부(부장 김영대)는 농협 전산망 마비 사태가 새로운 형태의 사이버 테러라고 3일 밝혔다.
검찰은 이번 공격에서 사용된 악성코드가 ‘2009년 7·7디도스’ ‘2011년 3·4디도스’ 사건과 유사하다고 설명했지만, 관련 업계는 지난 7·7이나 3·3 디도스 사건도 북한이라는 확실한 증거를 내놓지 못한 상태에서 이번 농협 사태마저 북한 때문으로 결론내리는 것은 궤변이다는 반응이다.
업계의 관계자들은 “수사권 없는 해외 민간업체들도 이란 원전을 공격한 ‘스턱스넷’의 실체와 공격 기법에 대해 방대한 양의 증거 자료 등을 내놓으며 실체를 규명했다”며 “확증 없이 단순히 과거 디도스 사고와 동일한 정황만으로 더 이상의 증거확보가 어려운 북한을 공격 주체라고 결론내리는 것은 무책임하다”고 비판하는 분위기다.
특히 이번 수사를 담당한 서울중앙지검 첨단범죄수사2부의 수사력 부족과 초동수사 시 증거 확보 미흡은 이번 사건의 혼선을 불러일으킨 가장 큰 원인으로 지적된다.
검찰 내외부에서 알려진 대로 검찰은 이번 농협사건의 초동수사에서 증거를 확보하는데 실패했다. 이후 참고인 조사에서도 정확한 기준에 의한 것이 아닌, 사건에 연관되어 보이는 인물들을 마구잡이로 소환 조사했다. 이 과정에서 추가 증거나 정황이 밝혀진 것은 없다. 혼란만 더욱 가중됐을 뿐이다.
업계 한 관계자는 “검찰 내부에서도 농협사건과 같은 경우는 검찰 내 포렌식팀에 더 경험이 풍부한 것으로 꼽히는데, 첨단수사2부에서 이번 사건을 맡은 것은 의외”라며 “포렌식팀도 일부 이번 조사에 참여해 공조한 것으로 알지만 한국인터넷진흥원, 안철수연구소 등 외부 인력이 다수 투입됐다는 것 역시 그만큼 검찰 첨단수사2부의 수사능력이 떨어진다는 방증이다”고 평했다.
이 같은 사건은 경찰에서 담당하는 것이 일반적인데 반해, 농협이 검찰에 이번 사건을 의뢰한 것도 의아하다. 검찰은 향후 미칠 파장을 고려하지 않을 수 없기 때문에 수사와 결과 발표에 미온적일 수밖에 없어, 이번 사태 역시 명쾌하게 밝히지 못하는 것 같다는 불만의 목소리가 높다.
경찰청 사이버테러대응센터의 한 관계자도 “서비스 재개와 증거확보는 반비례 관계이기 때문에 피해를 당한 업체 입장에서는 서비스 재개보다 증거확보를 등한시하는 경향이 있다”며 “서비스에 영향을 주지 않으면서 초동수사 시 증거 확보가 중요하고 유사사건에 경험이 풍부한 인력 및 노하우가 수사결과에 영향을 미친다”고 말했다.
최근 정부가 디도스 공격 등 각종 IT사고가 발생할 때마다 정확한 증거 제시 없이 북한의 소행이라고 지목하는 것은 천재지변이라 어쩔 수 없다며 책임을 회피하는 것이나 마찬가지라는 게 전문가들의 지적이다. 이런 관행이 근절되지 않고서는 제2, 제3의 농협사태는 재발할 수밖에 없고, 또 다시 책임은 단죄할 수 없는 북한으로 넘어가는 악순환이 지속된다는 얘기다.
이득춘 지식정보보호산업협회 회장은 “북한의 소행이자 치자. 그렇다 하더라도 농협이 철저히 보안에 대비했다면 이렇게 큰 사고로 이어진 않았을 것”이라며 “보안시스템과 보안정책 등을 갖추고 이를 제대로 지키기만 해도 보안사고의 90% 이상은 대비 가능하다”고 말해 기본적인 보안수칙 준수를 강조했다.
류경동
장윤정기자 linda@etnews.co.kr
관련 통계자료 다운로드 7·7, 3·3 DDoS와 비교