맥어드레스 동일…북측 좀비PC 201대에 포함
IP일부 정찰총국서 사용, 조작가능성 배제 못해

사상 초유의 농협 전산망 마비 사태가 3주에 걸친 수사결과 북한 정찰총국의 소행으로 드러남에 따라 이 같은 결론을 뒷받침하는 근거가 과연 무엇인지에 관심이 쏠린다.

검찰은 이번 공격이 북한 측에 의해 장기간 준비된 끝에 계획적으로 저질러진 사이버테러임을 "100% 확신한다"면서 그 근거도 충분하다고 강조했다.

검찰과 국정원을 중심으로 한 수사 당국은 일단 공격의 배후로 북한을 지목한 근거 중 하나로 서버운영 시스템 삭제명령의 진원지인 한국IBM 직원 노트북의 '맥어드레스(Mac Address)'를 제시했다.

맥어드레스란 컴퓨터가 장착한 무선랜카드의 고유번호를 지칭한다.

수사 당국에 따르면 북한은 이미 작년 7월 당시 언론에는 공개되지 않았던 사이버 공격을 감행해 국내에 있는 컴퓨터 수천대를 '좀비 PC'로 만들었다.

북한은 이들 컴퓨터의 근거지와 취급 정보 등을 파악해오다 그해 9월 이 가운데 금융기관이나 국가기관에서 쓰이는 것으로 확인된 컴퓨터 201대를 선별 관리해 왔으며, 이중에 삭제명령을 실행하게 된 문제의 노트북도 포함돼 있었다는 것이다.

수사 당국은 당시 사이버 공격의 주체를 북한으로 추정하고 북측이 관리해온 것으로 알려진 컴퓨터 리스트를 확보했다.

이런 수사 당국의 추정은 올해 3.4 디도스(DDos.분산서비스거보) 공격에서 사용된 악성코드와 일부 IP가 당시 공격 때와 유사하다는 점을 확인함으로써 북한의 소행임을 '확신'하는 쪽으로 바뀐 것으로 알려졌다.

즉, 농협 서버에 공격 명령을 내린 노트북을 분석해 봤더니 작년 7월 북측의 사이버 공격으로 이미 좀비 PC가 된 기기였고, 맥어드레스도 동일한 것으로 드러났다는 게 당국의 설명이다.

수사 당국은 그러나 작년 7월 사이버 공격의 배후를 북한으로 지목할 수 있는 이유에 대해서는 "국가안보상 밝힐 수 없다"며 구체적인 설명을 피했다.

수사 관계자는 이와 관련 "북한이 201명의 간첩을 국내에 심었고 그 가운데 한 명이 농협에서 나온 것으로 비유할 수 있다"고 설명했다.

두 번째 근거는 노트북에 심어진 악성코드의 구조가 2009년 7.7 디도스 대란 및 3.4 디도스 공격에 사용된 악성코드와 매우 유사하다는 것이다.

악성코드는 여러 개의 세부 프로그램들로 구성되는데 이들 가운데 단 몇 개라도 같을 확률은 거의 없다는 게 전문가들의 설명이다.

대표적인 것이 소스코드(Source Code)다.

소스코드란 프로그램 구조와 작동 원리 등의 정보를 파악할 수 있는 일종의 프로그램 설계도로 이를 분석하면 누가, 어떻게 프로그램을 제작했는지 알 수 있다.

사람의 지문이 각기 다른 것처럼 소스코드가 같은 프로그램은 있을 수 없으며, 두 차례 디도스 공격의 소스코드가 이번 사태의 것과 거의 똑같은 점에 비춰 동일한 사람이 세 가지 악성코드를 전부 제작했다고 보는 것이 수사 당국의 판단이다.

세 번째 근거는 문제의 노트북에서 발견된 IP 가운데 일부가 북한에서 사이버 테러 때 주로 사용하는 프로토콜로 확인됐다는 것이다.

수사 당국은 과거 디도스 대란 이전에도 여러 경로로 북한 정찰총국에서 사용하는 해외 IP 리스트를 확보해 관리해왔는데, 두 번의 디도스 공격과 이번 농협 사태에 활용된 IP 일부가 정찰총국이 사용하는 것으로 파악됐다는 말이다.

그러나 수사 당국의 이러한 설명에도 보안업계 전문가들은 여전히 의문이 남는다는 시선을 거두지 못하고 있다.

IP는 충분히 조작할 수 있는 만큼 북측 소행의 필요충분 조건으로는 설득력이 떨어진다는 것. 국내외 해커들이 신분을 숨기기 위해 북측 IP를 도용하는 것도 얼마든지 가능하기 때문에 이것만으로 북한 소행이라고 확신할 수 없다는 반론도 있다.

게다가 두 차례 디도스 공격의 주체를 북한으로 확정짓지 못한 상태에서 이를 근거로 또 북한을 지목한 것은 결국 추정에서 사실을 끌어내는 오류를 저지르는 셈이라는 지적도 있다.

어찌됐든 이번 농협 사이버테러도 앞선 두 번의 디도스 때처럼 사실상 형사처벌 대상이 없는 범죄가 될 가능성이 커졌다.

검찰은 수사 과정에서 시스템관리용 노트북이 아무런 통제 없이 외부로 반출입되고 매월 바꿔야 하는 최고관리자 비밀번호가 작년 7월 이후 한 번도 변경되지 않는 등 보안관리 상태가 미흡하다는 점을 확인했으나 이를 형사처벌 대상으로 삼을 수는 없다고 밝혔다.

검찰 관계자는 "노트북에서 발견된 해외 IP 추적 등은 계속하겠다"며 "다만 허술한 보안 관리 등 수사에서 드러난 구조적인 문제점은 자체 해결하거나 금융감독기관 등에서 조치가 있을 것"이라고 말했다.

(서울연합뉴스) 전성훈 기자 cielo78@yna.co.kr