치밀하게 준비한 파일로 서버 공격

농협 금융전산 사고는 서버 내부구조를 잘 아는 전문가가 사전에 치밀하게 준비한 공격 프로그램을 실행해 일어난 사이버 테러인 것으로 확인됐다.

서울중앙지검 첨단범죄수사2부(부장 김영대)는 18일 농협 전산망에 내려진 데이터 삭제명령(rm.dd)은 미리 준비된 서버 공격 프로그램 파일의 일부였다고 밝혔다.

검찰 관계자는 서버 공격에 이용된 파일은 농협 전산망의 구조를 잘 아는 사람이 설계한 것으로 보인다며 공격방식을 감안할 때 우발적 범행이거나 단순한 전산사고였을 가능성은 매우 낮다고 말했다. 이 관계자는 하지만 전산센터 내부자가 파일을 만들었는지 또는 오랜 기간 내부구조를 지켜본 외부 해커의 소행인지는 아직 단정하기 어렵다고 말했다.

검찰은 또 메인서버에 대한 최고접근 권한(Super Root) 접속은 서버 관리업체인 한국IBM 직원과 농협 전산센터 직원 등 4, 5명이 미리 부여받은 고정 인터넷주소(IP)를 통해서만 가능하다는 사실을 확인했다. 이에 따라 이들에 대해 출국금지 조치를 취하고 사고 당일의 행적을 조사 중이다.

수사팀은 특히 농협의 메인서버 침입 통로로 이용된 노트북에 문제의 공격 프로그램이 설치된 경위를 확인하는 데 주력하고 있다. 노트북 관리자인 협력업체 직원은 앞서 검찰 조사에서 공격 프로그램이 설치되거나 실행된 사실을 몰랐다고 부인한 것으로 전해졌다. 같은 사무실에 근무하는 다른 직원들도 평소 각자 본인의 컴퓨터로 작업을 하며 다른 직원의 노트북에 손을 댈 일은 없다고 진술한 것으로 알려졌다. 검찰은 이에 따라 용의자 압축을 위해 이들의 통화기록과 사건이 일어난 시간 전후의 사무실 주변 폐쇄회로(CC)TV 분석 작업을 벌이고 있다.

한편 농협은 사상 초유의 농협 금융전산사고에 대해 농협 스스로도 일상적 해킹의 수준을 넘어선 치밀하고 고의적인 사이버 테러로 규정했다.

김재영 redfoot@donga.com