검찰 수사변화·발표 과정


농협 전산망 장애 사태는 결국 또다시 북한의 소행이라는 사실이 드러났다. 사건 발생 이후 검찰이 수사를 벌여온 2주간을 돌아봤다.

지난달 12일 사고가 발생하자 검찰은 서울 양재동의 농협 IT 본부에 수사관들을 급파했다. 예상보다 피해가 심각한 수준인 것으로 파악돼 즉각 농협으로부터 서버 접속기록 등을 제출받아 원인 분석에 나섰다.

애초엔 농협 내부자의 소행 가능성에 무게가 실렸다.

서버 운영시스템을 삭제할 수 있는 건 서버에의 ‘최고 접근 권한’을 가진 농협 및 서버관리업체인 한국IBM의 소수 직원들뿐이었기 때문이다. 게다가 IBM 직원 한모 씨의 노트북에서 삭제명령이 입력된 기록도 남아있었다. 여러 가능성을 열어두고 275개의 서버 접속기록을 분석하는 가운데 검찰은 우선 최고 접근 권한을 가진 농협ㆍIBM 측 직원들을 비롯해 내부 직원 20여명에 대한 소환조사를 진행했다.

외부 해킹 가능성도 배제할 수는 없었다. 마침 이번 사건에 앞서 현대캐피탈 고객정보 해킹 유출사건도 있었던 터라 두 사건의 연관성에 대한 검토도 이뤄졌다.

하지만 일반적 해커의 경우 실력 과시 정도에 그칠 뿐 백업서버까지 파괴하지 않는 습성과 차별성을 가져 의구심은 증폭됐다.

검찰이 서버 접속기록 분석에 들어간 지 일주일째, ‘외부 침입 흔적’을 다수 발견했다. 사건이 발생하기 최소 한 달 이전부터 삭제명령을 실행하는 스크립트 파일이 심어져 예약 실행된 점도 확인됐다.

특히 최초 삭제명령을 내린 노트북에 남아있던 해외 IP 접속 기록은 역추적의 단서가 됐다. 여기에서 검찰은 과거 2009년 7월과 지난 3월 있었던 북한의 디도스 공격 시 동원된 중국발 IP와 일치하는 회선 일부를 확인했다. 이를 분석한 결과, 또다시 북한의 체신성이 중국 IP를 통해 사이버 테러를 감행한 사실이 밝혀졌다.

백웅기 기자/kgungi@heraldcorp.com