농협 해킹 ‘소스코드’ 7.7디도스와 상당부분 일치

농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 이번 사건의 주범이 2009년과 지난 3월 디도스(DDos.분산서비스거부) 공격 세력과 동일범일 가능성을 보여주는 중요 단서를 확보한 것으로 1일 알려졌다.

이에 따라 검찰은 사건의 경위와 테러 주체, 피해 규모 등을 종합해 이르면 이번 주 초 최종 수사결과를 발표할 계획이다.

검찰은 한국IBM직원의 노트북에서 실행된 서버운영시스템 삭제명령 프로그램의 '소스코드'가 2009년 '7.7 디도스 대란'과 지난 '3.4 디도스 공격' 때 발견된 악성프로그램의 소스코드와 상당 부분 일치한다는 사실을 확인한 것으로 전해졌다.

소스코드(source code)란 프로그램 구조와 작동 원리 등의 정보를 알 수 있는 일종의 프로그램 설계도로, 이를 분석하면 누가, 어떻게 프로그램을 제작했는지 파악할 수 있다.

디도스 공격 당시 악성코드를 제작한 해커가 농협 전산망 마비를 초래한 삭제명령 프로그램을 제작했을 가능성이 농후하다는 점을 사실상 입증한 것이다.

아울러 노트북과 농협 서버의 외부 침입 흔적을 확인하는 과정에서 발견된 중국발 IP의 경로와 진행 패턴이 디도스 공격 때의 중국 IP와 유사한 사실도 확인한 것으로 알려졌다.

이에 따라 검찰은 북한 측 해커가 중국 IP를 이용해 문제의 노트북에 삭제명령 파일을 심은 뒤 농협 서버에 대한 공격을 감행했는지 여부를 집중적으로 추적 중인 것으로 전해졌다.

7.7 디도스 대란 등 앞선 두 건의 대규모 디도스 공격은 수사 결과 모두 북한 체신성이 보유한 중국발 IP에서 시작된 것으로 밝혀진 바 있다.

검찰 관계자는 "현재로서는 어떤 IP가 사건과 관계돼 있는지 특정할 수 없다"면서 "사건의 진상 규명을 위해서는 분석 작업이 좀 더 필요하다"고 말했다.

검찰은 이번 사태가 외부의 '사이버테러'에 의해 발생했다는 잠정 결론을 내리고 배후세력 후보군을 압축했다. 일단 농협에서 주장하는 내부인 소행 가능성은 검찰 수사에서 사실상 배제된 상태다.

검찰은 다만 내부인이 서버 공격의 활로를 열어주는 등 외부 해커와 적극적으로 공모했거나 범행을 묵인했을 가능성은 염두에 두고 수사하고 있다.

보안이 허술한 것으로 확인된 특정 노트북이 서버 공격을 위한 경유지로 활용됐고, 농협의 보안망이 너무 쉽게 뚫린 점을 근거로 내부의 누군가가 중요 정보를 외부에 흘리는 등 범행에 협력했을 개연성은 여전히 배제할 수 없다는 것이다.

디지털뉴스팀