농협 전산망 마비 사태를 수사 중인 서울중앙지검 첨단범죄수사 2부는 이번 전면적인 전산망 마비 사태가 사실상 북한이 치밀하게 준비해서 저지른 사이버 테러라고 결론 내렸다. 하지만 구체적이고 결정적인 증거를 검찰이 제시하지 못해서 다소 엉성한 수사 결론이라는 보안전문가 비판도 있다.
검찰은 5월3일 이번 농협 사태가 2010년 9월 협력업체 직원의 노트북이 악성코드에 감염되면서 시작됐다고 밝혔다. 범인들은 7개월 넘게 노트북을 집중 관리하면서 필요한 정보를 획득한 뒤 원격조종을 통해 공격한 것으로 드러났다고 검찰은 말했다.
검찰은 서버 삭제명령이 내려진 노트북과 서버에 남겨진 외부 침입흔적을 분석한 결과, 북한의 소행을 추정할 수 있었다고 말했다. 이번 전산망 마비 사태와, 지난 2009년 "디도스 대란"과 지난 3월 "디도스 공격" 당시 사태가 서로 매우 비슷한 점을 발견했다는 설명이다.
이번 농협 사태를 일으킨 외부 해킹 공격 구조는 공격 프로그램과 공격명령 서버 목록을 분리시키는 것이다. 이같은 공격 구조는 지난 두 차례 디도스 사태와 동일했다는 것이다.
또 공격에 사용된 프로그램의 목록은 지난 "7.7 디도스 대란"과 90% 이상 일치했고, 지난 3월 "디도스 공격"과는 100% 일치했다고 검찰은 수사를 통해서 밝혀냈다. 공격 프로그램의 분석을 방해하는 수법이나 암호화 기법도 지난 디도스 사태 당시와 일치했다고 검찰은 말했다.
농협 전산망은 지난 4월12일 서버 데이터가 갑자기 삭제되면서 마비됐다. 검찰은 농협 전산망과 연관된 용의자 70명을 대상으로 20여일 동안 수사를 벌여 왔고, 결국 최종적으로 북한 소행으로 추정한다는 수사 결과를 발표했다.
<재난포커스(http://www.di-focus.com) - 유상원기자(goodservice@di-focus.com)>