서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 지난달 12일 발생한 이번 사태가 2009년 7·7디도스 및 지난 3·4 디도스 공격을 감행했던 동일 집단이 장기간 치밀하게 준비해 실행한 것으로 ‘북한이 관여한 초유의 사이버테러’라고 3일 규정했다.<관련 기사 16면>
검찰은 한국IBM 직원 노트북에서 발견된 81개 악성코드를 분석한 결과 농협 서버 공격에 사용된 악성코드가 쉽게 발견되지 않도록 암호화하는 방식 등 독특한 제작기법이 앞선 두 차례 디도스 사건과 매우 유사하다고 밝혔다.
아울러 악성코드의 유포 경로와 방식이 비슷할 뿐만 아니라 공격에 활용한 좀비PC를 조종하기 위해 이용한 인터넷 프로토콜(IP) 한 개는 3·4 디도스 사건 때 이용된 것과 완전히 일치하는 것으로 조사됐다.
검찰은 범인들이 이번 공격 명령의 발원지인 한국IBM 직원의 노트북을 2010년 9월4일 좀비PC로 만든 뒤 7개월간 집중적으로 관리하면서 내부 정보를 빼내 원격 조정으로 공격을 감행했다고 설명했다.
이들은 문제의 노트북에 악성코드와 함께 일명 ‘백도어’라 불리는 해킹 및 도청 프로그램을 설치해 일거수일투족을 치밀하게 감시하면서 공격대상 IP와 최고관리자의 비밀번호를 습득한 것으로 확인됐다.
이런 수법으로 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치한 뒤 그날 오후 4시50분10초 인터넷을 이용한 원격제어로 명령을 실행했으며, 이후 순차적으로 2·3차 공격을 감행해 총 587대의 서버 가운데 273대를 초토화시켰다.
이후 범인들은 노트북을 원격으로 실시간 모니터링하다 공격 성공 사실과 파괴된 서버 수까지 확인한 뒤 오후 5시20분께 노트북에 남아있던 명령 프로그램 등 관련 증거를 일제히 삭제해 추적을 어렵게 했다고 검찰은 밝혔다.
검찰은 특히 악성코드의 종류와 설계 및 유포 기술, 준비 기간 등 수사결과 밝혀진 정황에 비춰 상당한 규모의 인적·물적 뒷받침 없이는 실행하기 어려운 범죄라고 결론 냈다.
검찰 관계자는 “외부 해커와 농협 측이 공모했는지도 수사했으나 뚜렷한 단서를 찾아내지 못했다”고 말했다.