큰사진보기
|
| ▲ 서울중앙지방검찰청 첨단범죄수사제2부 김영대 부장검사가 3일 오전 서울 서초구 서울중앙지방검찰청 브리핑실에서 농협 전산망 장애사건 수사 결과를 발표하고 있다. |
| ⓒ 유성호 | 관련사진보기 |
그럴듯한 정황은 있었지만 확실한 범인도 증거도 없었다. 검찰이 사상 초유의 농협 전산망 마비를 북한의 '사이버 테러'로 규정했지만 끝내 의문을 풀진 못했다.
서울중앙지방검찰청 첨단범죄수사2부(부장검사 김영대)는 3일 북한 해커 조직이 한국IBM 직원 한아무개씨의 노트북을 '좀비PC'로 만든 뒤 원격 조종으로 농협 전산망 서버에 삭제 명령을 내렸다는 수사 결과를 발표했다. 이 자리엔 국가정보원 직원까지 참석해 '국가 보안'까지 거론하며 북한 소행으로 보는 여러 정황 증거들을 제시했지만 오히려 의문만 더 키웠다.
"좀비PC 만든 뒤 7개월 준비해 공격 명령"이날 검찰 수사 발표는 한 편의 첩보 영화를 연상시켰다. 2010년 9월 4일 이번 농협 전산망 서버에 삭제 명령을 내린 것으로 알려진 한국IBM 직원 노트북이 '세어박스'란 웹하드 사이트에서 접속했다가, 북한 해커가 심어놓은 악성코드에 감염돼 '좀비PC'가 된다. '세어박스'는 지난 3.4디도스 공격 때도 업데이트 프로그램으로 위장한 악성코드 유포처로 활용된 곳이다.
공교롭게 한씨 노트북이 '농협 시스템 관리자' 것이라는 걸 알게 된 해커는 지난해 10월 사용자가 키보드로 입력하는 내용을 낚아채는 '키 로깅' 프로그램을 설치해 노트북을 감시하기 시작했다. 급기야 지난 3월 11일에는 노트북에 있는 자료를 빼 가는 '백도어 프로그램'을 설치하고 3월 22일엔 파일 삭제 관련 프로그램을 설치했다.
이것도 부족해 도청 프로그램까지 설치해 한씨와 주변 사람들과 주고받는 말을 포함해 일거수일투족을 감시해 공격 대상 서버 IP와 최고 관리자 비밀번호까지 확보했다. 마침내 지난 4월 12일 오후 4시 51분 해커는 원격 조종을 통해 한씨 노트북에 삭제 명령을 하달하고 농협 내부 서버를 3차례 공격해 전체 서버 587대 가운데 절반에 가까운 273대를 파괴했다.
농협 전산망 공격은 우연한 결과?
큰사진보기
|
| ▲ 검찰, 농협 전산망 장애는 '북한 소행' 서울중앙지방검찰청 첨단범죄수사제2부 김영대 부장검사가 3일 오전 서울 서초구 서울중앙지방검찰청 브리핑실에서 농협 전산망 장애사건 수사 결과를 발표하고 있다. 검찰은 "농협 전산망 장애가 디도스 공격을 한 집단과 동일집단이 장기간 치밀하게 준비하여 실행한 것으로 북한이 관여된 초유의 사이버 테러"라며 사실상 북한 소행으로 결론지었다. |
| ⓒ 유성호 | 관련사진보기 |
검찰은 "범인들이 2010년 9월경 확보한 좀비 PC들로부터 각종 데이터를 빼 나가 검토한 후 이 사건 노트북이 은행시스템 관리자가 사용하는 것으로 판단해 7개월 이상 집중적으로 관리해 왔다"면서 "애초 농협이 목표였다기보다는 악성코드 유포 과정에서 농협 시스템 관리 직원이 감염돼 목표가 된 것"이라고 밝혔다.
감염 뒤 7개월이나 기다린 대목에 대해선 "잠재적 공격 대상에 올라 있다 3.4 디도스 공격이 효과 없이 마무리되자 실질적 손해가 발생하도록 공격한 것"이라면서 "많은 방어막이 생겨 디도스 공격이 더는 유효하지 않자 목표물을 특정하는 형태로 공격 방법이 진화한 것"이라고 추정했다.
한 마디로 해커들이 쳐놓은 그물에 한씨 노트북이 우연히 걸려들었고 애꿎은 농협 전산망이 공격 대상이 됐다는 것이다. 그것도 '철통 보안'을 자랑하는 국내 금융 전산망을 비웃기라도 하듯 무려 7개월이나 기다렸다가 행동에 나선 것이다.
더구나 농협 서버의 파일을 삭제할 수 있는 권한을 가진 최고 접근(루트) 권한 보유자는 농협 시스템팀 직원 3명과 유지보수업체인 한국IBM 직원 2명 등 5명에 불과했다. 하지만 한씨 노트북이 '좀비 PC'가 되고 또 해커가 수십 만 대에 이를 것으로 추정되는 좀비 PC들 가운데 한씨 노트북을 찾아낼 가능성은 높지 않다.
한 보안업체 전문가는 "시스템 관리자 노트북이 우연히 '좀비PC'가 되고 7개월 동안 발견되지 않을 가능성은 확률적으로 낮다"면서도 "한씨 노트북이 승인 없이 외부에 반출입되고 작년 7월 이후 비밀번호를 바꾸지 않는 등 보안조치가 허술했던 점을 감안하면 전혀 불가능한 건 아니다"라고 밝혔다.
악성코드 백신 나왔는데 7개월 동안 무방비?
큰사진보기
|
| ▲ 서울중앙지방검찰청 첨단범죄수사제2부 김영대 부장검사가 3일 오전 서울 서초구 서울중앙지방검찰청 브리핑실에서 농협 전산망 장애사건과 관련해 공격 체계도를 보이며 "공격명령 발원지는 유지보수업체(한국IBM) 직원의 노트북이었고 2010년 9월 4일경 좀비PC가 되었으며 범인들은 7개월 이상 노트북을 집중 관리하면서 필요한 정보를 획득한 뒤 원격조종으로 공격을 한 것"이라고 수사 결과를 발표하고 있다. |
| ⓒ 유성호 | 관련사진보기 |
또 '좀비 PC'가 됐다고 해도 보안이 생명인 금융기관 시스템 관리자의 PC 안에서 악성 코드가 7개월 가까이 발견되지 않았다는 점도 의문이다.
이에 검찰 관계자는 "농협 직원용 PC는 자체 보안 프로그램이 깔려 보안을 좀 더 강화했지만 타사 보안 프로그램을 깔지 않는 한국IBM 정책에 따라 해당 노트북엔 PC 보안 프로그램이 깔려있지 않았다"고 밝혔다.
문제가 된 악성코드를 치료할 백신 프로그램도 이미 당시 존재했던 것으로 확인됐다. 검찰은 "초기 감염 당시 악성코드를 감지 못해 백신 프로그램이 나올 수 없었고 지난 4월 이후 악성코드로 분류돼 지금은 걸린다"고 밝혔다. 하지만 국정원과 안철수연구소 말은 다르다.
국정원 관계자는 "해당 악성코드는 지난 9월 4일 배포되기 시작해 그 당시에는 좀비 PC 치료에 역점을 뒀고 치료가 된 PC도 있었다"고 밝혔다. 안철수연구소 관계자 역시 "9월 4일 발견된 악성코드와 관련해 백신을 만들어 진단 치료를 하고 있었다"면서 "만약 해당 PC에 백신 프로그램이 깔려 있었다면 '좀비 PC'로 감염되지 않았을 것"이라고 밝혔다.
설사 해당 노트북 자체의 보안 관리가 허술했다고 해도 농협 내부 서버를 외부 위협에서 보호하는 '방화벽' 시스템에 걸리지 않은 점도 의문이다.
이에 검찰은 "노트북에 '백도어' 프로그램이 설치돼 유선 인터넷 연결 시 방화벽 통과가 가능한 포트를 이용해 방화벽을 통과한 것으로 판단되고 와이파이(무선랜) 등 무선인터넷으로 방화벽을 우회해 노트북에 접근했을 가능성도 있다"고 밝혔다.
농협 방화벽 정책상 외부에서 시도되는 해킹은 차단되지만 이미 감염된 노트북 악성코드가 내부에서 외부로 통신을 시도하면 방화벽에 걸리지도 않고 기록도 남지 않는다는 것이다.
국정원 "북한이 한씨 노트북 특별 관리... 범인 PC 확보해야 확증"마지막으로 좀비PC를 활용한 농협 해킹이 사실이라 해도 실제 북한 소행인지는 여전히 의문이다. 검찰이 북한 소행으로 단정하는 이유는 이번 공격 프로그램이 북한 소행으로 '추정되는' 3.4 디도스 공격 프로그램과 유사하다는 것이다.
우선 3.4디도스와 농협 공격 프로그램에서 'A3...'로 시작하는 45자짜리 암호키가 동일하다는 점, '.doc' 등 삭제 대상 파일 확장자 31개가 3.4디도스와 전부가 일치한다는 점, 13개국 27개 공격 명령 IP 가운데 1개와 3.4디도스 때와 일치한다는 점을 꼽고 있다.
암호키, 파일 확장자 등을 제3의 해커가 모방했을 가능성을 제기하자 검찰 관계자는 "7.7 3.4 디도스와 유사하다는 건 설명을 위한 보조 자료일 뿐이고 사건 규모, 준비 과정, 프로그램 설계 방식, 이행되고 나타난 효과 등 제반 정황을 종합해 보면 그렇게(북한 소행으로) 판단할 수밖에 없다"면서 "이론적으로 다른 해커가 모방 가능하나 계좌 추적, 압수수색 등을 통해 모든 가능성을 열어놓고 수사했지만 발견되지 않았다"고 밝혔다.
여기에 지난해 9월부터 북한이 한씨 노트북 고유 번호인 '맥어드레스'를 '좀비 아이디'로 특별 관리해온 점을 새로운 증거로 제시했다.
검찰은 "국정원에서 최근 북한에서 유래된 사이버 관련 사고를 조사하는 과정에서 농협건과 동일한 키 로깅 프로그램을 확인했다"면서 "한씨 노트북은 2010년 9월경부터 북한이 특별 관리해온 좀비 PC고 노트북 데이터에도 '좀비ID'라고 명시돼 있었다"고 밝혔다.
이날 국정원 직원 역시 "북한 정찰총국 등에서 관리하는 IP를 역추적하다 보니 해킹에서 사용한 IP와 일치해 그 이후 북한 소행이란 확증을 갖고 연관성을 주시하고 있다"면서 "지난해 9월 4일 발견한 해킹 프로그램을 조사 분석한 결과 북한 것이라는 정황 증거가 있었고 최근 3.4 디도스를 분석하면서 북한 소행이 맞다는 추가 증거가 나왔다"고 밝혔다.
남남 갈등 일으키려 해킹? 국정원 직원 '부적절 발언'
큰사진보기
|
| ▲ 서울중앙지방검찰청 첨단범죄수사제2부 김영대 부장검사가 3일 오전 서울 서초구 서울중앙지방검찰청 브리핑실에서 농협 전산망 장애사건 수사 결과를 발표하고 있다. |
| ⓒ 유성호 | 관련사진보기 |
국정원은 지난 2009년 7월 7일 발생한 디도스 공격 근원지가 중국에 소재한 북한 체신성 IP라고 확인했고 지난 3.4디도스 역시 7.7디도스 공격자와 동일범으로 보고 있다. 다만 이날 검찰, 국정원 모두 두 차례 디도스 공격이 북한 소행이라고 단정하진 않았다.
국정원 관계자는 "범인이 확실하면 PC를 압수하면 프로그램이 일치하는지 확인할 수 있는데 여건상 안 되니까 여러 면에서 정황 증거들을 제시하는 것"이라며 대북 수사의 어려움을 밝혔다.
이날 한 기자가 북한이 이런 일을 벌이는 이유를 묻자 한 국정원 직원은 "(언론 보도에서 보듯) 남남 갈등 일으키면 좋잖나"라고 답하기도 했다. 이번 농협 사태 '북한 소행설'에 대한 비판적인 여론을 의식한 듯 보이지만 정작 이날 '남남 갈등'을 부추긴 건 확실한 물증보다 한 편의 영화 같은 정황 증거만 내세운 검찰과 국정원이었다.