농협 외부침입 일부 IP ‘3·4 디도스 공격’ 때와 겹쳐

檢 ‘전산대란’ 北소행 가능성도 수사

농협 전산망 마비 사건을 수사하고 있는 서울중앙지검 첨단범죄수사2부(부장 김영대)는 외부에서 농협 서버에 침입한 흔적을 확인하는 과정에서 드러난 일부 인터넷주소(IP)가 지난달 발생한 ‘3·4 디도스(DDos·분산서비스 거부) 공격’ 때와 겹치는 사실을 파악한 것으로 26일 알려졌다.

검찰은 서버운영 시스템 삭제 명령이 실행된 한국IBM 직원의 노트북컴퓨터와 농협 서버에 남아 있는 침입 흔적의 일부가 지난달 4일 국내 40여 주요 사이트를 대상으로 이뤄진 디도스 공격과 같은 IP인 것으로 파악했다. 문제의 IP가 데이터 삭제 명령을 내린 것인지는 아직 확인되지 않았다. 그러나 검찰은 문제의 IP가 삭제 명령을 내린 것으로 확인될 경우 이번 농협 전산망 마비 사태가 북한의 사이버 테러에 의한 것일 가능성을 배제할 수 없는 것으로 보고 있다.

지난달 4일 청와대 등 국가기관과 금융회사, 포털사이트 등 국내 40개 주요 사이트에 감행된 디도스 공격은 북한의 소행인 것으로 경찰청 사이버테러대응센터 수사 결과 드러났다. 당시 공격은 2009년 발생했던 ‘7·7 디도스 대란’과 동일한 북한 조선체신성이 할당받은 중국의 IP에서 시작된 것으로 밝혀졌었다.

검찰은 농협 서버 마비 사태가 발생하기 이전 수개월간 이 노트북과 농협 서버들에 접속 흔적을 남긴 수백 개의 국내외 IP 가운데 일부가 중국에서 접속된 사실을 확인하고 이번 사건과 연관성이 있는지 조사하고 있다. 특히 이들 IP가 북한의 해킹 등 사이버 테러용으로 쓰였을 가능성을 염두에 두고 국가정보원과 공조 수사를 진행 중인 것으로 알려졌다. 검찰 관계자는 “현재는 모든 가능성을 열어 두고 사건 관련 여부를 확인하는 단계”라며 “북한의 사이버 테러도 가능성 중 하나지만 아직 명확하게 밝혀진 것은 없다”고 말했다.

검찰은 삭제 명령 파일에 대한 분석 작업을 마친 뒤 1, 2주 안에 이번 사태의 원인 등 사건의 윤곽이 드러날 것으로 예상된다고 밝혔다. 검찰은 26일에도 농협 전산센터 및 한국IBM 직원들을 참고인으로 불러 조사했다.

이서현 기자 baltika7@donga.com