[“농협 해킹은 北 소행”]전문가들이 보는 검찰 발표 의문점

① 해킹 수법 비슷하니 동일범?
“악성코드 방식 흔하고 해커들 프로그램 돌려가며 써”

② 디도스 공격 때와 IP 일치?
“해커들 신분숨기려 IP 위조”

③ 北, 관리자노트북 어떻게 찾았나
“좀비PC 수천대… 바늘 구멍”

④ IBM 직원, IT 전문가인데
“해킹 7개월이나 몰랐다니…”

3일 오전 서울 서초구 서초동 서울중앙지검에서 첨단범죄수사 제2부 김영대 부장검사가 농협 전산망 마비사건 수사 결과를 브리핑하고 있다. 김미옥 기자 salt@donga.com

검찰이 3일 농협 전산망 마비 사태를 북한의 소행으로 결론지었지만 정보기술(IT) 기업 임원, 보안 컨설턴트 등 전문가들은 “여전히 의문이 남는다”며 고개를 갸웃거렸다.

우선 몇 가지 사건의 해킹 프로그램이 같다고 똑같은 범인의 소행이라고 추정할 수 있는가 하는 점이다. 검찰은 2009년 7·7, 올해 3·4 등 두 차례 디도스(DDoS·분산서비스거부) 공격에 쓰였던 해킹 프로그램과 이번 농협 사태에 쓰인 프로그램이 45자 암호키까지 같을 정도로 비슷하다고 발표했다. 그러나 익명을 요구한 보안업체 컨설턴트는 “현실에서는 범행수법과 필체 등이 같으면 동일범으로 추정할 수 있지만 사이버 세계에선 프로그램의 소스코드까지 복제해 여러 명이 쓸 수 있기 때문에 ‘반드시 그렇다’고 말할 수 없다”고 말했다. 실제로 해킹 프로그램은 중국, 브라질 등의 사이트에서 쉽게 내려받을 수 있고 해커들도 서로 돌려가며 쓴다.

또 공격명령이 내려진 인터넷주소(IP) 중 일부가 3·4 디도스 공격 때와 일치한다고 해서 북한의 소행으로 단정할 수 없다는 의견도 있다. 한 보안 전문가는 “해커들은 자신을 숨기기 위해 여러 국적의 IP를 위조하며 공격한다”며 “IP만으로는 해커를 찾아내기 어렵다”고 말했다. 과거 디도스 공격이 북한의 소행이라는 것도 100% 확인하기 어려운데 공격 수단이 비슷하다는 이유로 이번 사태도 북한의 짓이라 하면 ‘추정의 추정’ 아니냐는 비판도 나온다.

전문가들은 무엇보다 북한이 수많은 좀비PC(악성 프로그램이 깔려 해커의 조종을 받는 PC) 가운데 농협 서버 관리권한이 있는 한국IBM 직원의 노트북을 찾아내기는 극히 힘들다고 입을 모았다. 설령 이를 찾아내 오랫동안 관리했다 해도 내부자의 도움 없이 273개 서버에 파괴 명령을 내리는 것은 거의 불가능하다는 의견이다.

IT 업계의 한 임원은 “복잡하게 설계된 내부 시스템은 일종의 미로와 같다”며 “한 번도 이 미로를 보지 않은 사람이 남의 노트북 PC로 단번에 길을 찾아내는 것은 불가능하다”고 말했다.

이에 대해 검찰은 농협의 황당한 보안 관리 때문에 가능했다고 설명했다. 한국IBM 직원들이 작업 편의를 위해 자신들이 관리하는 모든 서버에 최고접근권한 접속이 가능한 ‘아임유저(IMUSER)’라는 계정을 만들었다는 것이다. 이는 개별 서버마다 각각 다른 계정과 비밀번호로 접속해야 하는 기본 보안수칙을 어긴 것으로, 이렇게 되면 ID 하나로 273대를 한 번에 파괴할 수 있게 된다.

보안 전문가들은 한국IBM 직원이 실제로 그랬다면 상식에 크게 어긋나는 일이라고 지적했다. 대학의 컴퓨터도 이렇게 안하는데 수천만 명을 고객으로 가진 금융회사의 IT 관리가 그 정도 수준이라는 게 믿기지 않는다는 것이다. IT 전문가인 IBM 직원이 자신의 노트북에 악성 프로그램이 깔린 것을 7개월 동안 몰랐다는 것도 이상한 점으로 꼽힌다.

김현수 기자 kimhs@donga.com

김상훈 기자 sanhkim@donga.com