검찰 “외부세력 치밀한 계획아래 범행”

농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 27일 시스템 삭제명령을 내린 노트북에서 발견된 중국발 IP(인터넷 프로토콜)와 이 노트북에 심어진 해당 파일의 연관성을 찾는데 주력하고 있다.

검찰은 지금까지 수사 결과 이번 사건이 농협측 주장대로 내부자 소행이기보다는 외부의 누군가가 치밀한 계획 아래 의도적으로 전산망에 침입해 저지른 것으로 잠정결론 내리고 가해 인물 또는 집단의 실체를 파악하는데 수사력을 모으고 있다.

이와 관련, 검찰은 한국IBM 직원의 노트북에서 실행된 삭제명령 프로그램이 중국에서 접속된 IP를 통해 심어졌는지 여부를 밝히는데 중점을 두고 막바지 분석 작업을 벌이고 있다.

또 최고접근권한(Super Root)을 가진 5명을 포함해 서버에 접근할 수 있는 70여명의 농협 및 한국IBM 직원 컴퓨터 중 해당 노트북이 표적이 된 이유와 중국발 IP에서 전송된 데이터의 역할 등도 확인하고 있다.

검찰은 문제의 노트북이 농협전산센터 외부로 자유롭게 반출되고 센터 내ㆍ외부에서 수시로 인터넷에 접속되는 등 보안이 허술했던 점에 주목하고 있다.

내부 사정에 밝은 외부의 누군가가 이 노트북을 바이러스에 감염시켜 좀비PC로 만든 뒤 원격조종을 통해 농협 서버를 공격했을 가능성이 있다는 것이다.

검찰은 아울러 해당 IP가 지난달 4일 국내 주요 사이트 40여개를 대상으로 이뤄진 ‘3.4 디도스(DDos.분산서비스거부) 공격’ 때의 IP 및 2009년 발생한 ‘7.7 디도스 대란’을 유발한 IP와 경로나 근거지 등에서 일치하는 부분이 있는지 살펴보고 있다. 수사결과 두 사건은 모두 북한 체신성이 보유한 중국발 IP에서 시작된 것으로 밝혀진 바 있다.

검찰은 일단 이번 사건이 외부 해킹에 의한 사이버 테러라 하더라도 내부 전산망 구조와 보안 상태 등의 정보가 없으면 접근 자체가 쉽지 않은 점 등을 근거로 내부 직원의 협조 가능성도 완전히 배제하지는 않고 있다.

검찰은 그동안 30~40여명에 이르는 전산센터 내부 직원에 대한 소환조사를 사실상 끝냈으나, 외부 침입 경로 등을 규명하는 데 필요할 경우 재소환할 방침이다.

연합뉴스