지난해 9월 4일 오후 10시 48분 한 씨 노트북은 북한이 웹하드 업체 S사의 홈페이지에 업데이트 프로그램으로 위장해 숨겨 놓은 악성코드에 감염되면서 좀비 PC가 됐다. 그즈음 북한 해커들은 자신들이 설치해 놓은 악성코드에 감염된 좀비 PC의 데이터를 모니터링하다 농협 전산망을 관리하는 한 씨 노트북이 고급정보로 가득 차 있는 점을 주목했다. 지난해 10월 22일 오전 9시 47분 북한 해커는 한 씨의 노트북에 키보드로 입력하는 모든 내용을 낚아챌 수 있는 키로깅(keylogging) 프로그램을 설치하는 데 성공했다.
급기야 북한은 3월 11일 오후에는 백도어(Backdoor)라는 해킹 프로그램 설치를 완료했다. 농협 전산망 서버 관리자가 눈치 채지 못하게 하면서 전산망에 접속할 수 있는 길이 열리게 됨에 따라 해커들은 농협 전산센터를 제 집 드나들 듯 침입했다. 3월 22일 낮 12시 57분 파일 삭제 관련 프로그램을 설치한 뒤부터는 본격적으로 농협 전산센터 내부 동향을 감시하기 시작해 최근 한 달간 A4용지 1073쪽 분량의 정보를 키로깅으로 빼갔다. 또 이때부터는 한 씨 노트북에 음성 도청 프로그램까지 설치돼 한 씨가 노트북을 가지고 작업하는 소리나 전산센터 내부 작업자들이 주고받는 대화까지 실시간으로 도청했다.
북한은 한 씨의 노트북에 도청 프로그램 외에도 화면 캡처 프로그램을 비롯해 공격 명령 프로그램 등 감시용 프로그램과 파괴 대상 서버 목록 프로그램, 서버 유형별 삭제 명령 프로그램, 삭제 실행 프로그램 등 공격용 프로그램 복구 불가능화 프로그램 등 범행 은폐용 프로그램 등 악성코드 81개를 몰래 심었다. 이 악성코드는 일반적인 백신 프로그램으로는 탐지가 되지 않도록 은밀하게 심어졌다. 또 해커가 농협 서버를 공격한 직후 이들 프로그램을 지워버려 수사 초기에는 이 같은 프로그램이 설치된 사실 자체를 확인할 수 없도록 했다. 북한은 이런 악성코드를 통해 공격할 농협 서버와 컴퓨터의 IP를 확보한 뒤 급기야는 최고접근권한(슈퍼루트)을 획득할 수 있는 최고관리자 비밀번호까지 빼냈다.
사이버테러 준비는 오래 걸렸지만 공격은 의외로 간단했다. 지난달 12일 오전 8시 20분 D데이가 오자 북한은 농협 전산망을 공격하는 명령을 내리는 파일을 한 씨 노트북에 설치했다. 도청 프로그램으로 전산센터 내부 분위기까지 속속들이 파악하고 있던 북한 해커들은 이날 오후 4시 50분이 되자 인터넷을 통해 한 씨 노트북에 최종 공격명령을 내렸다. 농협 서버의 데이터를 모두 지우라는 명령어인 rm dd가 입력되자 전산망은 순식간에 마비되기 시작했다. 공격 프로그램은 여러 프로그램이 유기적으로 연결돼 순차적으로 자동 실행돼 나갔고, 공격 명령을 받은 내부 서버들은 다른 서버들에 대해 2차, 3차 공격 명령을 내리면서 서버가 연쇄적으로 파괴된 것. 공격 강도는 농협 측이 피해 확산을 막기 위해 서버의 운행을 강제로 중단해야 할 정도로 강력했다.
범행 후 도주도 기상천외했다. 공격을 받은 서버들은 자신들이 본 피해 상황을 한 씨의 노트북에 보고하도록 프로그래밍되어 있었고 북한 해커는 한 씨의 노트북을 통해 공격 결과를 확인한 뒤 추적을 피하기 위해 노트북에 있던 공격 프로그램과 증거들을 반복적으로 삭제한 뒤 유유히 사라지는 여유까지 보였다. 농협 서버 587개 가운데 273개가 모조리 파괴된 뒤였다.
About Dong-A Ilbo