서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 3일 농협 서버관리 협력업체인 한국IBM 직원 한모씨의 노트북에서 발견된 서버 운영체제 삭제명령 파일을 분석한 결과 이번 공격이 치밀하게 계획된 북한의 공격이라는 내용의 수사결과를 발표했다.
◇검찰 "북한 정찰총국 소행 확실"
검찰은 한씨의 노트북에 장착된 무선랜카드의 고유번호인 맥 어드레스가 북한 정찰총국이 유포한 악성 프로그램에 감염된 PC의 맥 어드레스 리스트에 포함됐다는 점을 결정적 증거로 제시했다. 이와 관련해 검찰 관계자는 "농협 사태의 진원지가 북한이라는 사실은 확실하다"면서도 "해당 맥 어드레스들에 악성코드를 유포한 세력을 북한으로 확인한 구체적 경위는 국가 안보상 밝힐 수 없다"고 설명했다.
검찰은 또 사건의 규모와 구체적인 테러 과정, 공격 프로그램이 설계된 방식과 효과 등을 종합해볼 때 사태의 진원지가 북한으로 판단된다고 밝혔다. 공격에 사용된 악성코드를 암호화하는 기법 등 공격에 사용된 81개 악성코드를 만든 제작기법이 2009년의 7·7디도스와 지난 3·4디도스 사건과 유사하다는 것이다.
특히 웹하드사이트 프로그램을 업데이트하는 것처럼 위장해 악성코드를 유포하는 등 좀비PC를 만들기 위해 악성코드를 설치하는 방법이 과거 디도스 사건과 비슷한 것으로 조사됐다. 검찰 관계자는 "농협 사태는 과거 디도스 공격을 가한 집단과 같은 집단이 장기간 치밀하게 준비해 실행한 것으로 북한이 관여된 초유의 사이버테러"라고 규정했다.
◇北,7개월 치밀한 준비끝 농협해킹 성공
검찰은 공격명령의 발원지인 한씨의 노트북이 지난해 9월4일 '좀비PC'가 돼 7개월 이상 북한의 특별 관리를 받아왔다고 설명했다. 해당 노트북은 S웹하드 사이트에서 업데이트 프로그램으로 위장된 악성코드에 감염된 이후 각종 악성프로그램이 깔린 것으로 조사됐다. 그해 10월22일에는 키보드로 PC에 입력하는 내용을 낚아채는 '키로깅(Keylogging) 프로그램'이, 올해 3월11일에는 공격자가 컴퓨터에 몰래 침입할 수 있는 경로를 확보하는 '백도어(backdoor) 프로그램'이 설치됐다.
이 프로그램을 이용해 북한은 노트북에 저장돼 있는 각종 자료와 입력 내용을 빼냈다. 또 도청 프로그램까지 사용해 노트북 사용자의 일거수일투족을 감시하며 공격대상 IP와 최고관리자 비밀번호를 알아낸 것으로 드러났다.
북한은 3월22일 파일삭제 프로그램을 설치하고 전산망마비 사태 당일인 지난달 12일 오전 8시20분14초에 공격명령 파일을 설치하며 본격적인 공격태세에 들어간 것으로 파악됐다. 결국 그날 오후 4시50분10초 인터넷을 이용한 원격제어로 공격명령 프로그램이 실행되면서 587대의 서버 가운데 273대의 서버가 피해를 입은 농협 사태가 발생했다.
검찰 관계자는 "1회 공격명령을 내리면 공격에 사용된 각종 프로그램이 유기적으로 연결돼 순차 공격이 자동실행되는 구조로 설계됐다"며 "서버의 모든 데이터를 완전히 삭제해 0으로 만들어버리는 강력한 테러였다"고 설명했다. 이들은 노트북에 설치된 모니터링 프로그램을 통해 공격 성공 여부를 실시간으로 지켜본 뒤 오후 5시20분 공격 프로그램을 삭제해 범인 추적을 어렵게 하기도 한 것으로 전해졌다.
검찰은 농협 전산센터 출입기록과 CCTV 등을 통해 내부자의 공모 여부도 수사했지만 별다른 단서를 확인하지는 못했다고 밝혔다.
검찰 관계자는 "이번 공격은 자본주의 사회의 기본인프라인 금융기관 시스템을 파괴하는 타깃형 집중공격으로 완전히 새로운 형태의 사이버 테러"라며 "관공서와 금융기관 등 주요 전산망 관리 PC를 전수조사해 대응방안을 마련할 계획"이라고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]