7.7, 3.4 디도스 공격과 동일집단 소행
'백도어' 깔아 목표 노트북 7개월 감시

지난달 12일 발생한 사상 초유의 농협 전산망 마비 사태는 북한 정찰총국의 '사이버테러'에 의한 것으로 드러났다.

서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 3일 이번 사태가 2009년 7.7디도스 및 지난 3.4 디도스 공격을 감행했던 동일 집단이 장기간 치밀하게 준비해 실행한 것으로 '북한이 관여한 초유의 사이버테러'라고 발표했다.

검찰은 한국IBM 직원 노트북에서 발견된 81개 악성코드를 분석한 결과 농협 서버 공격에 사용된 악성코드가 쉽게 발견되지 않도록 암호화하는 방식 등 독특한 제작기법이 앞선 두 차례 디도스 사건과 매우 유사한 것으로 나타났다고 밝혔다.

아울러 악성코드의 유포 경로와 방식이 비슷할 뿐만 아니라 공격에 활용한 좀비PC를 조종하기 위해 이용한 IP(인터넷 프로토콜) 1개는 3.4 디도스 사건 때 이용된 것과 완전히 일치하는 것으로 조사됐다.

농협은 두 차례 디도스 사건에서도 공격대상에 포함된 바 있다고 검찰은 전했다.

검찰은 범인들이 이번 공격 명령의 발원지인 한국IBM 직원의 노트북을 2010년 9월4일 좀비PC로 만든 뒤 7개월간 집중적으로 관리하면서 내부 정보를 빼내고서 원격 조정으로 공격을 감행한 사실을 밝혀냈다.

이들은 문제의 노트북에 악성코드와 함께 일명 '백도어'라 불리는 해킹 및 도청 프로그램을 설치해 일거수일투족을 치밀하게 감시하면서 공격대상 IP와 최고관리자의 비밀번호를 습득한 것으로 확인됐다.

이런 방식으로 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치한 뒤 그날 오후 4시50분10초 인터넷을 이용한 원격제어로 명령을 실행했으며, 이후 순차적으로 2ㆍ3차 공격을 감행해 총 587대의 서버 가운데 273대를 초토화시켰다.

이후 범인들은 원격으로 노트북을 실시간으로 모니터링하다 공격 성공 사실과 파괴된 서버 수까지 확인한 뒤 오후 5시20분께 노트북에 남아있던 명령 프로그램 등 관련 증거를 일제히 삭제해 추적을 어렵게 했다고 검찰은 밝혔다.

검찰은 악성코드의 종류와 설계 및 유포 기술, 준비 기간 등 수사결과 밝혀진 정황에 비춰 상당한 규모의 인적ㆍ물적 뒷받침 없이는 실행하기 어려운 범죄라는 결론을 내렸다.

검찰은 농협 전산센터 출입기록과 CCTV 등을 통해 내부자가 공격의 활로를 열어주는 등 직간접적으로 외부 해커와 공모했는지 여부도 수사했으나 뚜렷한 단서를 찾아내지는 못했다고 전했다.

검찰 관계자는 "이번 사이버 테러는 피해 확산을 막기 위해 서버 운영을 중단해야 할 만큼 강력한 테러였다"며 "북한의 새로운 사이버 공격 방식에 대한 대책이 절실하다"고 말했다.

(서울연합뉴스) 전성훈 송진원 기자 cielo78@yna.co.krsan@yna.co.kr