농협 전산망 마비 사태를 수사 중인 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 사건의 경위와 테러 주체, 피해 규모 등을 종합해 이르면 이번 주 초 최종 수사결과를 발표할 계획이다.
검찰은 한국IBM직원의 노트북에서 실행된 서버운영시스템 삭제명령 프로그램의 '소스코드'가 2009년 '7.7 디도스 대란'과 지난 '3.4 디도스 공격' 때 발견된 악성프로그램의 소스코드와 상당 부분 일치한다는 사실을 확인한 것으로 전해졌다.
소스코드(source code)란 프로그램 구조와 작동 원리 등의 정보를 알 수 있는 일종의 프로그램 설계도로, 이를 분석하면 누가, 어떻게 프로그램을 제작했는지 파악할 수 있다.
디도스 공격 당시 악성코드를 제작한 해커가 농협 전산망 마비를 초래한 삭제명령 프로그램을 제작했을 가능성이 크다는 점을 사실상 입증한 셈이다.
이외에도 노트북과 농협 서버 외부 침입 흔적을 확인하는 과정에서 발견된 중국쪽 IP의 경로와 진행 패턴이 디도스 공격 때의 중국 IP와 유사한 사실도 확인한 것으로 알려졌다.
이에 따라 검찰은 북한 측 해커가 중국 IP를 이용해 문제의 노트북에 삭제명령 파일을 심은 뒤 농협 서버에 대한 공격을 감행했는지 여부를 추적 중인 것으로 전해졌다.
농협 건에 앞선 두 건의 대규모 디도스 공격은 수사 결과 모두 북한 체신성이 보유한 중국발 IP에서 시작된 것으로 밝혀진 바 있다.
검찰은 이번 사태가 외부의 '사이버테러'에 의해 발생했다는 잠정 결론을 내리고 배후세력 후보군을 압축했다. 일단 농협에서 주장하는 내부인 소행 가능성은 검찰 수사에서 사실상 배제된 상태다.
검찰은 다만 내부인이 서버 공격의 활로를 열어주는 등 외부 해커와 적극적으로 공모했거나 범행을 묵인했을 가능성은 염두에 두고 수사하고 있다.