내부? 외부? 공모? 갈팡질팡 농협수사 결국 제자리로

전산망 마비 8일간 조사한 檢 “분석에만 2, 3주 걸려”
보안전문가들 “배후 규명 긴 터널… 미궁에 빠질수도”

“정보노출 우려” 최원병 농협중앙회장이 20일 국회에서 열린 농림위 전체회의에서 금융전산망 사고 관련 질의를 받자 김재수 농수산식품 1차관이 전달한 메모를 보고 있다. 메모에는 ‘농협의 구체적 IT에 관한 사항은 답변하지 않는 것도 방법. 의원께 양해(농협의 정보노출 우려)’라고 적혀 있다. 전영한 기자 scoopjyh@donga.com

“분석에 시간이 걸릴 것이다.” 검찰 관계자는 13일 농협 전산망 마비 사태에 대한 수사에 착수하면서 이렇게 말했다. 수사의 초점은 내부자의 고의적 사이버테러와 외부 해커에 의한 침입 가능성 사이를 오갔다. 이렇게 일주일이 지난 20일 검찰 관계자는 “분석에만 2∼3주 걸릴 것”이라고 다시 말했다. 원점으로 돌아간 셈이다.

사건은 처음부터 단순치 않았다. 사상 초유의 금융전산망 마비 사태에 대해 정보보안 전문가들은 “있어서도, 있을 수도 없는 일”이라고 말했다. 금융회사나 기업이 사용하는 대형 전산시스템은 소수에게만 전산망의 최고 접근 권한인 ‘루트(root) 권한’을 허용한다. 소수의 사람도 겹겹으로 이뤄진 인증 단계를 통과해야 하는 것은 물론이고 접근 과정을 낱낱이 시스템이 남겨둬야 한다. 하지만 농협의 전산망은 너무나도 쉽게 마비됐다.

가능성은 크게 세 가지였다. 첫째, 시스템을 잘 아는 내부자가 범행을 저질렀을 개연성이다. 둘째, 탁월한 실력의 해커가 농협의 보안망을 뚫고 외부에서 공격하는 경우다. 마지막으로 내부자와 외부 세력의 공모 개연성.

14일 검찰은 내부 직원 범행 가능성을 시사했다. 로그 기록이 반복적으로 삭제된 흔적을 발견했기 때문이다. 이렇게 시스템에 반복적으로 접근했다는 것은 범인이 농협 서버실에 자유롭게 드나들었다는 것을 의미한다. “내부자의 고의적 테러 가능성이 높다”는 검찰 관계자의 발언은 이런 배경에서 나왔다.

17일 새로운 단서가 발견되면서 외부 해킹 가능성이 제기됐다. 농협 시스템 전체에 대한 삭제 명령이 내려진 노트북을 조사한 결과, 직접 키보드로 명령을 입력한 흔적이 나오지 않은 것이다. 그렇다면 가능성은 두 가지. 내부자가 정교한 프로그램을 휴대용 저장장치에 심어 노트북에서 실행시키거나, 외부에서 노트북을 해킹해 시스템에 명령을 내리는 것이다. 가능성이 낮아 보였던 외부 해킹 가능성이 다시 제기됐다.

18일 검찰은 협력회사 직원을 포함한 농협 직원의 출국을 금지시켰다. 이는 내부자의 소행에 무게를 두고 있다는 관측을 낳았다. 그러나 검찰은 19일 “문제의 노트북이 외부로 여러 차례 반출됐다”고 밝혔다. 외부 해킹일 가능성도 염두에 둔 채 수사를 각각의 시나리오별로 동시에 진행했다는 것을 뜻한다. 20일 검찰 관계자는 결국 “긴 터널 속에 들어왔다”며 “오리무중”이라고 털어놨다. 정보보안 사건은 유력 용의자가 금전적 보상을 요구할 때 쉽게 전말이 파악된다. 현대캐피탈 고객정보 유출 사고도 이런 이유로 범인이 금세 파악됐다. 하지만 2009년 7월과 올해 3월의 ‘디도스(DDoS·분산서비스거부) 공격’처럼 금전적 요구 없이 일어난 해커의 공격은 여전히 배후를 규명하지 못하고 있다. 사건의 배후를 밝혀내는 데 상당한 시간이 걸리거나, 사건 자체가 미궁에 빠질 개연성을 배제할 수 없다는 관측이 일부 정보보안 전문가로부터 나오고 있다.

김상훈 기자 sanhkim@donga.com　　
이서현 기자 baltika7@donga.com

크게보기