농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 24일 외부에서 '좀비 PC'나 원격조종 등의 방법으로 서버 파괴를 실행했을 가능성이 있다고 보고 국내외 관련 IP(Internet Protocol)를 역추적하는 데 주력하고 있다.
검찰은 이번 사건이 특정 목적을 겨냥한 '사이버 테러'일 개연성에 무게를 싣고 추적 작업에 수사력을 집중하는 것으로 알려졌다.
검찰은 마비 사태가 발생한 12일 이전 수개월간 서버운영 시스템 삭제 명령의 진원지인 한국IBM 직원의 노트북에 접속된 흔적이 있는 수백 개의 IP 가운데 경로와 성격이 의심스러운 IP를 역추적해 사건과의 연관성을 들여다보고 있다.
검찰은 삭제명령으로 피해를 본 서버 275대 가운데 일부를 분석하는 과정에서 발견된 다수의 '외부 침입 흔적'이 이런 수법과도 연관이 있는지 면밀하게 살펴보고 있는 것으로 전해졌다.
검찰은 앞서 프로그램이 노트북 키보드로 직접 입력되지 않은 것으로 결론 내렸으며, 노트북에 수차례 접속된 것으로 확인된 이동식 저장장치(USB)를 통한 입력 정황은 아직 발견하지 못한 상태다.
검찰은 일단 이번 사건이 외부 해킹에 의한 것이더라도 내부 시스템 운영 구조나 관리 상태 등에 대한 정보 없이 독자적으로 범행했을 가능성은 작다고 보고 고도로 숙달된 해커와 내부 직원의 공모 가능성을 여전히 염두에 두고 있다.
보안업계 한 관계자도 "공격 루트가 빤히 보이는 내부자 또는 내·외부자의 단순 공모보다는 외부 해커와 내부자 간 조직적 협력 범죄일 가능성이 크다"고 말했다.
디지털뉴스팀