[“농협 해킹은 北 소행”]검찰 “농협 해킹, 北 정찰총국이 7개월간 준비”

“北 사이버테러” 결론… 결정적인 증거는 제시 못해

크게보기

크게보기

지난달 12일 발생한 농협 금융전산망 마비 사태는 북한이 7개월여에 걸쳐 치밀하게 범행을 준비하고 실행한 새로운 차원의 ‘사이버 공격’이었던 것으로 검찰 수사 결과 밝혀졌다.

▶ A2면 관련기사 [“농협 해킹은 北 소행”]전문가들이 보는 검찰 발표 의문점
▶ A2면 관련기사 [“농협 해킹은 北 소행”]다른 금융기관 전산망도 ‘구멍’ 크다
▶ A3면 관련기사 [“농협 해킹은 北 소행”]검찰이 北지목한 이유

서울중앙지검 첨단범죄수사2부(부장 김영대)는 국가정보원 등 유관기관과 공조수사를 벌인 결과 북한 군부에서 대남테러와 해외공작을 전담하는 ‘정찰총국’이 원격조종으로 농협 전산망을 파괴한 것으로 최종 결론을 내렸다고 3일 밝혔다.

검찰은 농협 전산망 마비에 사용된 한국IBM 파견 직원 한모 씨의 노트북에 숨어 있던 악성코드 81개의 암호화 방식이 북한의 소행으로 사실상 결론 난 2009년 7월 7일, 올 3월 4일 디도스(DDoS·분산서비스거부) 공격과 비슷한 점, 한 씨 컴퓨터 조종에 이용된 인터넷 프로토콜(IP) 1개가 3·4 디도스 공격 때와 완전히 일치한 사실 등을 근거로 이같이 판단했다.

특히 지난해 9월 북한이 제3의 사이버테러를 가해왔을 때 확보된 200여 개의 무선랜카드 ‘맥어드레스(고유번호)’ 가운데 1개가 한 씨 노트북에 장착돼 있던 무선랜카드 맥어드레스와 일치한 점이 중요한 판단 근거였다.

검찰에 따르면 북한은 한 씨의 노트북을 ‘좀비 PC’로 활용해 농협 전산망을 공격했다. 업데이트 프로그램으로 위장한 악성코드 81개를 한 씨의 컴퓨터에 지속적으로 몰래 심은 뒤 농협 서버를 뚫고 들어가는 데 필요한 핵심 정보들을 모두 빼내고 공격 명령까지 실행시킨 것으로 조사됐다. 특히 북한 해커는 지난해 9월 4일 한 씨의 노트북을 좀비 PC로 만든 뒤 이후 7개월여간이나 컴퓨터를 원격 조종하면서 사이버테러를 준비한 것으로 드러났다.
▼ 노트북 좀비PC화→해킹-도청 SW설치→원격 파괴명령 ▼

지난해 9월 4일 오후 10시 48분 한 씨 노트북은 북한이 웹하드 업체 S사의 홈페이지에 업데이트 프로그램으로 위장해 숨겨 놓은 악성코드에 감염되면서 좀비 PC가 됐다. 그즈음 북한 해커들은 자신들이 설치해 놓은 악성코드에 감염된 좀비 PC의 데이터를 모니터링하다 농협 전산망을 관리하는 한 씨 노트북이 고급정보로 가득 차 있는 점을 주목했다. 지난해 10월 22일 오전 9시 47분 북한 해커는 한 씨의 노트북에 키보드로 입력하는 모든 내용을 낚아챌 수 있는 ‘키로깅(keylogging) 프로그램’을 설치하는 데 성공했다.

급기야 북한은 올해 3월 11일 오후에는 ‘백도어(Backdoor)’라는 해킹 프로그램을 설치했다. 농협 전산망 서버 관리자가 눈치 채지 못하게 하면서 전산망에 접속할 수 있는 길이 열리게 됨에 따라 해커들은 농협 전산센터를 제 집 드나들 듯 침입했다. 3월 22일 낮 12시 57분 파일 삭제 관련 프로그램을 설치한 뒤부터는 본격적으로 농협 전산센터 내부 동향을 감시하기 시작해 최근 한 달간 A4용지 1073쪽 분량의 정보를 키로깅으로 빼갔다. 또 이때부터는 한 씨 노트북에 ‘음성 도청 프로그램’까지 설치해 한 씨가 노트북을 가지고 작업하는 소리나 전산센터 내부 작업자들이 주고받는 대화까지 실시간으로 도청했다.

북한은 한 씨의 노트북에 도청 프로그램 외에도 △화면 캡처 프로그램을 비롯해 공격 명령 프로그램 등 감시용 프로그램과 △파괴 대상 서버 목록 프로그램, 서버 유형별 삭제 명령 프로그램, 삭제 실행 프로그램 등 공격용 프로그램 △복구 불가능화 프로그램 등 범행 은폐용 프로그램 등 악성코드 81개를 몰래 심었다. 이 악성코드는 일반적인 백신 프로그램으로는 탐지가 되지 않도록 은밀하게 심어졌다. 또 해커가 농협 서버를 공격한 직후 이들 프로그램을 지워버려 수사 초기에는 이 같은 프로그램이 설치된 사실 자체를 확인할 수 없도록 했다. 북한은 이런 악성코드를 통해 공격할 농협 서버와 컴퓨터의 인터넷주소(IP)를 확보한 뒤 급기야는 ‘최고접근권한(슈퍼루트)’을 획득할 수 있는 ‘최고관리자 비밀번호’까지 빼냈다.

사이버테러 준비는 오래 걸렸지만 공격은 의외로 간단했다. 지난달 12일 오전 8시 20분 ‘D―데이’가 오자 북한은 농협 전산망을 공격하는 명령을 내리는 파일을 한 씨 노트북에 설치했다. 도청 프로그램으로 전산센터 내부 분위기까지 속속들이 파악하고 있던 북한 해커들은 이날 오후 4시 50분이 되자 인터넷을 통해 한 씨 노트북에 최종 공격명령을 내렸다. 농협 서버의 데이터를 모두 지우라는 명령어인 ‘rm’ ‘dd’가 입력되자 전산망은 순식간에 마비되기 시작했다. 공격 프로그램은 여러 프로그램이 유기적으로 연결돼 순차적으로 자동 실행돼 나갔고, 공격 명령을 받은 내부 서버들은 다른 서버들에 대해 2차, 3차 공격 명령을 내리면서 서버가 연쇄적으로 파괴된 것. 공격 강도는 농협 측이 피해 확산을 막기 위해 서버의 운행을 강제로 중단해야 할 정도로 강력했다.

범행 후 도주도 기상천외했다. 공격을 받은 서버들은 자신들이 본 피해 상황을 한 씨의 노트북에 보고하도록 프로그래밍되어 있었고 북한 해커는 한 씨의 노트북을 통해 공격 결과를 확인한 뒤 추적을 피하기 위해 노트북에 있던 공격 프로그램과 증거들을 반복적으로 삭제한 뒤 유유히 사라지는 여유까지 보였다. 농협 서버 587개 가운데 273개가 모조리 파괴된 뒤였다.

전성철 기자 dawn@donga.com
장관석 기자 jks@donga.com