전산 사고를 일으킨 농협이 해킹을 당한 정황이 속속 드러나고 있다. 검찰은 '중국발 인터넷프로토콜(IP)'에서 서버 운영 시스템 삭제 명령이 실행된 한국IBM 직원의 노트북에 접속한 것을 발견했다. 검찰은 이 IP들이 혹시 북한과 연관된 것은 아닌지 경로를 역추적하고 있다.

이번 사건을 수사하고 있는 서울중앙지검첨단범죄수사2부(김영대 부장검사)는 사고가 발생한 지난 12일 이전 수개월 동안 이 노트북과 농협 서버들에 접속 흔적을 남긴 수백개 국내외 IP 중 일부가 중국에서 접속된 사실을 확인했다고 26일 밝혔다.

검찰은 특히 이들 IP가 북한에서 해킹 등 사이버 테러용으로 쓰였을 가능성을 염두에 두고 관계기관들과 공조해 수사하고 있다.

검찰 관계자는 "중국에서 나온 IP가 있지만 이것이 북한과 연계된 것인지는 확인되지 않았다"고 말했다. 그는 "2009년 발생했던 '7 · 7 디도스(DDoS · 분산서비스거부)' 공격과 이번 공격이 유사한 점이 있는지 분석 중"이라고 덧붙였다. 7 · 7 디도스 공격은 61개국에서 435대 서버를 이용해 우리나라와 미국의 주요 기관 35개 사이트를 해킹한 사건이다. 공격 근거지가 중국에 있는 북한 체신성으로 밝혀져 북한의 사이버 테러로 추정되고 있다.

검찰은 "삭제 명령 파일에 대한 분석 작업이 마무리 단계"라며 "IP 분석도 1~2주 내에 결과를 내도록 하겠다"고 밝혔다.

검찰은 내부 직원의 협조 아래 특정한 목적을 가지고 조직적으로 사이버 테러가 진행됐다고 보고 있다. 해당 노트북이 농협 IT본부 밖으로 여러 차례 반출됐고 수시로 인터넷에 접속됐다는 점을 고려할 때 외부에서 삭제 명령을 심어 12일 실행했을 개연성도 크다는 게 검찰의 판단이다.

검찰은 이날도 전산센터 및 한국IBM 직원들을 불러 사건 발생 당시 서버 관리 상황과 행적 등을 조사했다. 검찰이 현재까지 소환조사한 직원은 30~40명에 달하는 것으로 알려졌다.

한편 농협은 지난 25일 이재관 전무이사의 사퇴서를 수리하고 이날부터 남성우 축산경제 대표이사(사진)가 전무이사를 대행하도록 했다. 농협 전무이사는 공석 30일 내에 인사추천위원회에서 후보자를 추천하면 대의원회에서 이를 승인하는 형태로 선임된다.

이상은 기자 selee@hankyung.com