검찰-국정원 “농협해킹 SW, 北 디도스 공격때와 유사”

“명령어 구성 등 제작방식 공통점 많아”
北 해커 소행 가능성 커… 이르면 이번주 최종 발표

농협의 전산망에 침입해 데이터 삭제명령을 내린 악성 프로그램이 북한이 과거 국내 주요 사이트에 대한 디도스(DDoS·분산서비스거부) 공격 때 사용한 것과 유사한 것으로 1일 확인됐다. 북한이 접속 장애를 일으키는 수준의 디도스 공격을 넘어서서 농협 전산망 마비처럼 국내 주요 금융기관의 시스템을 복구 불가능한 수준으로까지 파괴하는 해킹 능력을 갖춘 것으로 분석됨에 따라 이에 대한 철저한 대비가 시급한 과제로 떠올랐다.

서울중앙지검 첨단범죄수사2부(부장 김영대)는 국가정보원과 함께 농협의 서버관리 협력업체 한국IBM 직원 한모 씨의 노트북에서 발견된 백도어(Backdoor) 바이러스 등 악성 프로그램을 분석해 이 같은 결론을 내린 것으로 전해졌다. 농협 전산망에 데이터 삭제명령을 내린 프로그램이 올해 3월 4일 디도스 공격과 2009년 ‘7·7 디도스 대란’ 때 발견됐던 악성 프로그램과 명령어 구성 방식 등 제작기법 면에서 공통점이 많다는 것. 당시 디도스 공격은 북한의 소행으로 추정됐으나 명확한 결론이 내려지지는 않았다.

또 수사팀은 한 씨의 노트북에 침입했던 20여 개의 인터넷주소(IP)를 추적한 결과 이 IP들이 모두 해외에 위치한 사실을 확인했다. 이 가운데 일부 IP는 북한 체신성이 할당받아 사용하는 것으로 파악된 중국 IP와 일치하는 것으로 드러났다. 이에 따라 북한 해커가 해외에서 인터넷을 통해 한 씨의 노트북에 침입해 악성 프로그램을 심은 뒤 원격조종 방식으로 농협 서버를 공격했을 가능성이 높다는 것이 검찰의 판단이다.

검찰은 서버와 노트북에 남아 있는 전산자료 분석 등을 마무리한 뒤 이르면 이번 주에 수사 결과를 발표하는 것을 검토하고 있다.

농협 전산망 마비 사태가 북한의 소행이라는 잠정결론이 내려짐에 따라 북한이 이번 범행을 저지른 의도가 무엇인지가 의문점으로 떠오르고 있다. 그동안 북한의 소행으로 추정됐던 해킹 사건은 대부분 국내 주요 웹사이트에 대한 디도스 공격이 전부였다. 즉, 특정 사이트에 대규모의 데이터를 동시에 보내 일시적인 접속장애를 일으키는 정도를 목표로 했고 이번처럼 중요 데이터를 완전 삭제하는 등 서버 자체를 파괴하려 한 적은 없었다.

검찰과 국정원의 수사 결과에 따르면 이번 사태는 북한의 해킹 공격이 국가 기간시설을 노린 고강도 사이버 테러로 진화하고 있음을 보여주는 전조로 해석할 수 있다. 농협 한 곳의 전산망을 노린 이번 사태와 달리 국내 주요 금융기관에 대한 동시다발적인 해킹이 이뤄질 경우 전체 경제운용 시스템 자체가 마비될 수도 있다.

전성철 기자 dawn@donga.com