檢, 농협 사태 원인은 '북한의 사이버 테러'

(아주경제 이수경 기자) 검찰이 지난달 12일 발생한 농협 전산망 마비 사태는 북한의 '사이버 테러'에 의한 것으로 추정된다고 발표했다.

3일 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 이번 사태가 7.7디도스 및 3.4 디도스 공격을 한 동일 집단이 장기간 치밀하게 준비해 실행한 초유의 사이버테러라고 밝혔다.

검찰에 따르면 공격 명령은 농협 서버관리 협력업체인 한국IBM 직원 한모씨의 노트북에서 시작됐으며 이 노트북은 지난해 9월 4일쯤 '좀비PC'가 됐다.

범인들은 7개월 이상 노트북을 집중 관리하면서 필요한 정보를 빼낸 뒤 원격 조종으로 공격했다는 것이다.

관련기사

• 농협 피해보상 미봉책에 소비자들 뿔났다…일부 집단소송 결정
• 농협 해킹 주범, 2009년과 지난 3월 디도스 공격 세력과 동일범

이들은 문제의 노트북에 악성코드와 함께 일명 '백도어'라 불리는 해킹 프로그램과 도청 프로그램을 설치해 노트북을 감시하면서 공격대상 IP와 최고관리자의 비밀번호를 습득한 것으로 확인됐다.

범인들은 이러한 방식으로 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치한 뒤 그날 오후 4시50분10초 인터넷을 이용한 원격제어로 명령을 실행했으며 이후 순차적으로 2차, 3차 공격을 감행해 총 587대의 서버 가운데 273대를 초토화시켰다.

이 노트북에서 발견된 서버 운영체제 삭제명령 스크립트(명령어 조합으로 이뤄진 프로그램)를 분석한 결과 공격에 사용된 81개 악성코드를 만든 독특한 제작기법이 2009년의 7.7디도스와 지난 3.4디도스 사건과 유사하다는 게 검찰의 설명이다.

특히 웹하드사이트 프로그램을 업데이트하는 것처럼 위장해 악성코드를 유포하는 등의 방법으로 좀비PC를 만든 수법도 과거 디도스 사건과 비슷한 것으로 파악됐다.

검찰은 이 PC를 조종하기 위해 해외에 마련한 공격명령 서버 IP 1개도 3.4 디도스 사건에 이용된 것과 동일하다는 점을 확인했다.

검찰 관계자는 "농협 사태는 과거 디도스 공격을 가한 집단과 같은 집단이 장기간 치밀하게 준비해 실행한 것으로 북한이 관여된 초유의 사이버테러"라고 규정했다.