檢 ‘전산대란’ 北소행 가능성도 수사
농협 전산망 마비 사건을 수사하고 있는 서울중앙지검 첨단범죄수사2부(부장 김영대)는 외부에서 농협 서버에 침입한 흔적을 확인하는 과정에서 드러난 일부 인터넷주소(IP)가 지난달 발생한 ‘3·4 디도스(DDos·분산서비스 거부) 공격’ 때와 겹치는 사실을 파악한 것으로 26일 알려졌다.
검찰은 서버운영 시스템 삭제 명령이 실행된 한국IBM 직원의 노트북컴퓨터와 농협 서버에 남아 있는 침입 흔적의 일부가 지난달 4일 국내 40여 주요 사이트를 대상으로 이뤄진 디도스 공격과 같은 IP인 것으로 파악했다. 문제의 IP가 데이터 삭제 명령을 내린 것인지는 아직 확인되지 않았다. 그러나 검찰은 문제의 IP가 삭제 명령을 내린 것으로 확인될 경우 이번 농협 전산망 마비 사태가 북한의 사이버 테러에 의한 것일 가능성을 배제할 수 없는 것으로 보고 있다.
지난달 4일 청와대 등 국가기관과 금융회사, 포털사이트 등 국내 40개 주요 사이트에 감행된 디도스 공격은 북한의 소행인 것으로 경찰청 사이버테러대응센터 수사 결과 드러났다. 당시 공격은 2009년 발생했던 ‘7·7 디도스 대란’과 동일한 북한 조선체신성이 할당받은 중국의 IP에서 시작된 것으로 밝혀졌었다.
검찰은 삭제 명령 파일에 대한 분석 작업을 마친 뒤 1, 2주 안에 이번 사태의 원인 등 사건의 윤곽이 드러날 것으로 예상된다고 밝혔다. 검찰은 26일에도 농협 전산센터 및 한국IBM 직원들을 참고인으로 불러 조사했다.
이서현 기자 baltika7@donga.com