학생운동권 출신의 국내 정보기술(IT)업체 대표가 북한 정찰총국 간첩과 북한 해커에게 국내 전산망 서버 접속권한을 넘겨 국내 10만여 대의 개인용 컴퓨터(PC)가 좀비PC가 되어버린 것으로 확인됐다. 만약 북한이 10만 대의 좀비PC를 이용해 사이버 테러를 벌였다면 사상 최악의 디도스 공격이나 해킹 사태가 발생했을 수 있다는 것이 공안당국의 분석이다.
서울중앙지검 공안1부(부장 최성남)와 공안당국은 중국에 있는 북한 해커가 국내 전산망에 악성 바이러스를 유포해 좀비PC 네트워크 봇넷을 구축할 수 있게 돕고, 정찰총국 간첩과 접촉한 혐의 등(국가보안법상 회합통신, 편의제공)으로 IT업체 A사 대표 김모 씨(50)의 회사와 자택, 서버제공업체 2곳을 30일 압수수색했다.
검찰과 공안당국은 김 씨가 대여받은 서버를 압수하고 관련 서류 등을 확보했다. 또 사용자도 모르게 바이러스에 감염된 좀비PC 리스트를 확인해 백신프로그램으로 치료할 방침이다.
검찰과 공안당국에 따르면 김 씨는 국내 중소 서버업체로부터 서버 일부를 빌린 뒤 이 서버에 접속하는 데 필요한 아이디와 패스워드를 2년여 전 북한 해커에게 넘긴 혐의를 받고 있다. 북한 해커는 김 씨가 열어준 접속권한을 통해 서버 전산망에 악성 바이러스를 유포해 10만여 대의 좀비PC 네트워크를 구축했다. 좀비PC가 만들어지면 해당 서버의 트래픽에 과부하가 걸린다. 김 씨에게 서버를 대여해준 업체는 그쪽에게 빌려준 서버의 트래픽이 과부하돼 이상이 생기는 것 같다고 지적하기도 했다. 그러자 김 씨는 북한 해커에게 연락해 트래픽이 과부하되지 않게 조심해야 한다고 조언한 것으로 알려졌다.
김 씨는 서울의 4년제 사립대 이공계를 졸업한 운동권 출신으로 알려졌다. 그는 1990년대 말 중국에 있는 남북 합작 IT회사에서 일하면서 중국을 꾸준히 오갔다. 검찰과 공안당국은 이 과정에서 김 씨가 북한 공작원들과 접촉한 것으로 보고 있다.
김 씨는 북한으로부터 금품성 대가를 받지 않은 것으로 보인다. 그 대신 북한이 만든 스마트폰용 애플리케이션 등을 받아 판매하고 수익을 올렸다. 검찰은 앞으로 김 씨 등에 대한 계좌추적도 벌여 대가성을 확인할 방침이다.
그동안 북한이 저지른 것으로 추정되는 사이버 테러는 올해 3월 방송사와 농협 해킹, 2009년 77 디도스 공격, 2011년 34 디도스 공격과 농협 전산망 해킹 등이 꼽힌다. 당시 이용된 좀비PC는 최대 2만여 대 수준인 것으로 추정된다.
공안당국 관계자는 과거 사례에 비춰 볼 때 북한은 일단 국내에 좀비PC 네트워크를 구축한 뒤 특별한 징후 없이 공격을 개시하는 패턴을 반복해왔다고 말했다.
최예나 기자 yena@donga.com