검찰이 농협 전산망 마비 사태 주범으로 북한을 지목했다. 그러나 검찰 수사와 결과 발표에 대한 IT업계 내외부 반응은 냉담하다. 7·7과 3·3 DDoS 공격조차 북한의 소행이라는 명확한 증거가 없는 상황에서 좀비를 조종하는 서버 IP 1개가 동일하고, 좀비PC를 만드는 방법이 비슷하다는 ‘정황’만으로 북한의 소행이라고 단정짓는 것은 무리라는 의견이 지배적이다.
서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 지난달 12일 발생한 농협 전산망 마비 사태가 북한 정찰총국이 저지른 사상 초유의 ‘사이버 테러’라고 3일 공식 발표했다. 검찰은 한국IBM 직원 한모씨 노트북PC에서 발견한 악성코드 81개를 분석한 결과 해당 악성코드 제작 기법이 2009년 7·7 DDoS 공격, 올해 발생한 3·3 DDoS 공격과 유사한 사실을 포착했다.
검찰은 악성코드가 웹하드를 통해 유포됐다는 점과 공격에 활용된 IP(인터넷 프로토콜) 1개가 3·3 DDoS 공격 당시 이용된 것과 동일하다는 점으로 미뤄볼 때 이전 DDoS 공격 세력과 같은 집단의 행위라고 설명했다.
검찰은 한국IBM 직원 노트북PC가 좀비PC로 활동했다는 사실도 밝혀냈다. 해당 노트북PC는 2010년 9월 4일 좀비PC화됐으며, 공격세력은 노트북PC에 악성코드와 함께 ‘백도어’라 불리는 해킹 및 도청 프로그램을 설치해 공격 대상 IP와 최고관리자 비밀번호를 습득했다고 밝혔다.
이 노트북PC는 지난달 12일 오전 8시 20분 14초에 공격명령 파일이 심어졌으며, 당일 오후 4시 50분 10초에 인터넷을 이용한 원격제어로 파괴 명령 실행에 이용됐다는 것이 검찰 측 설명이다.
검찰은 이번 공격이 농협에 가해진 이유로, 시스템 관리용 노트북PC와 최고관리자 비밀번호 관리 소홀을 꼽았다. 노트북PC는 아무런 통제 없이 외부 반출입이 가능했고, 비밀번호 역시 유지보수업체에 누설될 만큼 농협의 관리감독과 보안이 허술했다는 게 검찰의 지적이다. 하지만 검찰은 내부 직원의 공모 여부는 밝혀내지 못했다.
관련 업계는 검찰의 수사 발표에 ‘의외’라는 반응이다. 특히 확실한 증거를 잡지 못한 채, 북한 소행이라고 몰아가는 모습에 대해 우려스럽다고 지적했다. 보안 업계 관계자는 “최근 정부가 각종 사고 때마다 북한을 지목하고 있는데, 이는 책임을 회피하는 것과 같고 결국 그 피해는 국민에게 돌아갈 뿐”이라고 말했다.
전문가들은 검찰의 초동 수사 및 증거 확보, 수사 방식이 과연 사건 전모를 밝혀내기에 충분했는지에 의문을 보내고 있다. 검찰 발표대로 새로운 형태의 사이버테러라고 해도 이를 방어하기 위해 정부 차원에서 더욱 확실한 대응책이 나와야 한다는 지적이다.
한편 농협중앙회는 이번 사건은 북한의 소행이라는 검찰 발표에 안도하는 모습을 보였다.
농협 관계자는 “내부 직원의 소행이 아닌 것으로 밝혀져 일단 다행”이라며 “고객 피해 보상과 IT 보안 강화 등 남은 과제 해결을 위해 최대한 힘을 쏟을 것”이라고 말했다.
장윤정 박창규 기자 linda@etnews.co.kr
관련 통계자료 다운로드 농협전산망 공격 시나리오