“공격명령 서버 중 1개 북한서 사용…노트북에 악성코드 심어 좀비피시화”

검찰이 밝힌 농협 전산망 공격 양상

[농협 전산망 사고 수사발표]
과거 디도스 공격 때와 암호화 기법 유사

검찰이 밝힌 근거와 해킹수법

검찰은 농협 전산망이 일시 마비되는 등 심대한 장애를 일으킨 까닭은 북한의 ‘사이버 테러’ 때문이었다고 밝혔다. 검찰은 2일 북한의 공격 경로와 구체적 수법 등은 프레젠테이션 자료까지 동원해 자세히 설명했다. 그러나 북한이 공격 명령을 내린 장본인이라는 직접 증거는 내놓지 않았다.

■ 농협 관리업체 직원 노트북에 도청 프로그램 심어 검찰에 따르면, 농협 전산망을 공격하라고 명령한 진원지는 농협 서버의 유지·보수를 담당했던 한국아이비엠(IBM) 직원 한아무개씨의 노트북이었다. 북한으로 추정되는 해커 집단은 지난해 9월4일 국내 웹하드 업체에 접속한 이 노트북에 악성 코드를 심어 좀비피시(PC)로 만든 뒤, 7개월여 동안 집중적으로 정보를 캐내고 81개나 되는 공격용 프로그램을 설치했다는 게 검찰의 설명이다.

특히 이들은 한씨의 노트북에 키로깅(키보드에 입력하는 내용을 가로채는 것)·화면 캡처 프로그램 등을 설치해 상세한 정보를 수집하는 한편, 노트북에 설치된 마이크를 이용해 사용자가 하는 대화를 도청할 수 있는 프로그램까지 심어둔 것으로 조사됐다.

■ 디도스 공격과 유사한 프로그램·겹치는 IP 주소 이렇게 좀비가 된 한씨의 노트북에 대해 북한은 중국·대만·미국·터키 등 13개국에 산재한 27개 아이피를 통해 공격 명령을 전달했다. 검찰은 이 가운데 1개 아이피가 지난 3월4일 디도스 공격 당시 사용된 70개국 748개 아이피와 겹친다고 밝혔다. 이날 수사결과 발표에 참석한 국정원 직원도 “농협 공격에 이용된 아이피 가운데 북한의 정찰총국이 자주 사용하는 것으로 파악된 아이피도 포함돼 있었다”며 ‘북한 공격설’에 힘을 보탰다.

또 검찰은 디도스 공격 당시 사용된 프로그램과 농협을 공격한 프로그램의 암호화 기법 등 핵심 내용이 유사하다고 설명했다. 검찰 관계자는 “암호화 기법과 프로그램 소스 등은 사람의 필적과 비슷한 것”이라며 “공격 루트와 프로그램에서 이 정도의 동일성을 가진다면 디도스 공격 때와 같은 집단이 범행을 저지른 것으로 추정할 수 있다”고 밝혔다.

■ 북한 연루됐다는 직접 증거는 밝히지 않아 그러나 검찰은 이번 농협 공격이 북한과 연결돼 있다는 직접 증거는 공개하지 않았다. 또 검찰은 한씨 노트북의 맥어드레스(컴퓨터 랜카드의 고유번호)를 포함한 200여개 맥어드레스를 북한이 관리하고 있다고 밝혔다. 그러나 북한과의 직접 연관성을 입증해줄 증거를 두고는 “국가 안보와 관련된 부분이므로, 공개할 수 없다”는 입장만 반복했다.

검찰은 또 한씨의 노트북이 국내 한 웹하드 사이트에서 업데이트 파일로 위장된 악성 코드를 내려받은 뒤 좀비피시가 됐다고 설명했다. “해커들은 자기들이 확보한 좀비피시에 어떤 정보가 들어 있는지를 검색하는데, 한씨의 노트북에 담긴 정보를 파악한 뒤 농협 전산망 관리자의 컴퓨터라는 사실을 파악하게 됐을 것”이라고 한다. 우연히 농협 전산망 최고 접근권자인 한씨가 북한이 드리운 낚시에 걸렸다는 것이다. 한씨와 같이 농협 전산망 최고 접근권을 가진 사람은 5명에 불과하다. 노현웅 기자 goloke@hani.co.kr