‘농협 사태’ 일단 北 소행으로 결론?

최근 농협 전산망 마비사태가 북한의 사이버 공격에서 비롯된 것으로 잠정 결론났다.

3일 서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 농협 서버관리 협력업체인 한국IBM 직원 한모씨의 노트북에서 발견된 서버 운영체제 삭제명령 스크립트를 분석한 결과 이번 공격이 치밀하게 계획된 북한의 공격이라는 내용의 수사결과를 발표했다.

검찰에 따르면 공격명령의 발원지인 한씨의 노트북은 지난해 9월4일 '좀비PC'가 돼 7개월 이상 북한의 특별 관리를 받아왔으며, 해당 노트북은 한 웹하드사이트에서 업데이트 프로그램으로 위장된 악성코드에 감염된 이후 각종 악성프로그램이 깔린 것으로 조사됐다.

또한 같은해 10월22일에는 키보드로 PC에 입력하는 내용을 낚아채는 '키로깅(Keylogging)' 프로그램이, 지난 3월11일에는 공격자가 컴퓨터에 몰래 침입할 수 있는 경로를 확보하는 '백도어(backdoor)' 프로그램이 설치됐다.

이 프로그램을 이용해 범인들은 노트북에 저장돼 있는 각종 자료와 입력 내용을 빼냈다. 이들은 도청 프로그램까지 사용해 노트북 사용자의 일거수일투족을 감시하며 공격대상 IP와 최고관리자 비밀번호를 알아낸 것으로 드러났다.

범인들은 3월22일 파일삭제 프로그램을 설치하고 전산망마비 사태 당일인 지난달 12일 오전 8시20분14초에 공격명령 파일을 설치하며 본격적인 공격태세에 들어간 것으로 파악됐다. 결국 이날 오후 4시50분10초 인터넷을 이용한 원격제어로 공격명령 프로그램이 실행되면서 587대의 서버 가운데 273대의 서버가 피해를 입은 '농협 사태'가 발생했다.

이번 사건에 대해, 검찰 측은 과거 디도스 공격을 가한 집단과 같은 집단이 장기간 치밀하게 준비해 실행한 것으로 북한이 관여된 초유의 사이버테러라고 규정했다. 하지만 국가적 보안을 이유로 이번 사태의 진원지가 북한이라고 결론내린 구체적 근거는 밝히지 않았다.

검찰 관계자는 "관공서와 금융기관 등 주요 전산망 관리 PC를 전수조사해 대응방안을 마련할 계획이다"고 전했다.