(아주경제 장기영 기자) 북한이 지난달 12일 발생한 농협 전산망 마비사태에 관여한 것으로 드러난 가운데 해커들이 오랜 시간 치밀하게 범행을 준비한 사실이 밝혀졌다.

서울중앙지검 첨단범죄수사 2부(김영대 부장검사)는 3일 발표한 수사결과를 통해 서버 파괴에 쓰인 노트북이 7개월 이상 집중 관리됐다며 이번 사이버 테러 수법을 새로운 형태로 규정했다.

검찰에 따르면 범인들은 S웹하드 사이트에 업데이트 프로그램으로 위장한 악성코드를 유포해 지난해 9월 4일 오후 11시경 문제의 노트북을 좀비 PC로 만들었다.

확보된 여러 대의 좀비 PC로 각종 데이터를 분석하던 이들은 한국 IBM 직원의 노트북을 발견하고 7개월 이상 집중 관리했다.

범인들은 지난 3월 11일 오후 6시께 노트북에 필요한 악성코드를 심고 정보를 빼내기 위해 백도어(Backdoor)라는 해킹 프로그램을 설치했으며 같은 달 22일 파일 삭제 프로그램을 실행시켰다.

범인들은 해킹 프로그램을 통해 노트북에 저장된 자료와 모든 입력 내용을 가로채고 도청 프로그램을 가동해 노트북 주인 한 모씨를 감시했다. 이 과정에서 공격대상 IP와 농협, IBM 직원 등 4~5만여 명만 최고접근권한 비밀번호가 유출됐다.

공격 명령 파일은 지난달 12일 오전 8시 20분에 설치됐으며 프로그램 실행은 이날 오후 4시 50분께 인터넷 원격제어 시스템을 통해 이뤄졌다.

검찰은 노트북에서 직접 공격 명령이 내려진 뒤 농협 내부 서버인 NIM을 1차 공격하고 이 서버에서 다른 서버로 2차 공격이 번지는 등 총 3가지 경로를 거쳐 내부 서버와 웹 서버에 공격 명령이 실행된 것으로 파악했다.

범인들은 노트북에 설치된 모니터링 프로그램으로 공격 성공 여부를 지켜보다 공격 실행 후 40분이 지난 오후 5시 30분께 악성코드를 삭제하는 치밀함을 보였다.

현재 검찰은 이번 농협 전산망 마비 사태가 앞서 발생한 ‘7·7 디도스’, ‘3·4 디도스’ 사건과 동일 집단의 소행인 것으로 판단하고 있다. 공격에 사용된 프로그래밍 수법이 유사하다는 것이 그 이유다.

악성코드가 발각되지 않도록 하기 위한 암호화 방식은 ‘3·4 디도스’와 거의 일치하는 것으로 확인됐다. 삭제 대상 파일 30여 개의 파일 확장자 종류, 순서는 ‘3·4’디도스와 100%, ‘7·7 디도스’와 93% 닮은꼴이다.

검찰 관계자는 “‘7·7 디도스’, ‘3·4 디도스’ 때와 농협 사태의 공격 패턴이 유사하고 북한에서 유래된 사이버 사고 조사에서 이번 건과 동일한 프로그램이 설치된 사실을 확인했다”며 “북한이 이 노트북을 특별 관리해 온 것으로 보인다”고 말했다.