[“농협 해킹은 北 소행”]검찰이 北지목한 이유

① 北 3·4디도스 공격때와 ‘45자 암호키’ 똑같아 ② 삭제파일 목록, 중복기재 실수까지 판박이 ③ 北사용 ‘좀비PC 통신용 고유번호’가 노트북에

검찰이 3일 농협 전산망 마비 사태가 북한 소행으로 지목한 근거는 서버관리 협력업체 한국IBM 직원 한모 씨의 노트북에서 발견된 81종의 악성코드 분석 결과 때문이다.

검찰은 문제의 악성코드가 자신의 존재를 숨기기 위해 사용한 암호화 방식이 북한이 저지른 올해 3월 4일 디도스(DDoS·분산서비스거부) 공격 때 발견된 프로그램과 일치한다고 밝혔다. 3·4 디도스 공격과 농협 공격에 쓰인 프로그램은 모두 ‘A’로 시작하는 45자의 암호키를 사용했다는 것이 검찰 설명이다.

공격 프로그램에 담긴 삭제대상 파일의 확장자명 목록이 일치한다는 점도 검찰이 꼽은 중요한 이유다. 2009년 7월 일어난 ‘7·7 디도스 대란’ 때 발견된 프로그램은 37종류의 확장자명을 삭제대상 목록에 올려놨다. 올해 3·4 디도스 공격이 발생한 직후 두 사건이 모두 북한의 소행일 가능성이 높다는 결론이 났던 것은 3·4 디도스 공격에 쓰인 프로그램이 삭제하려 한 31종의 확장자명이 7·7 디도스 대란 때 발견된 목록과 93% 일치했기 때문이었다.

검찰은 농협 서버 공격에 쓰인 프로그램은 31종의 확장자명을 가진 파일을 삭제하도록 한 3·4 디도스 공격 때와 목록 구성이 100% 일치한다고 밝혔다. 검찰 관계자는 “3·4 디도스 공격과 농협 사건에서 발견된 프로그램은 삭제대상 파일 확장자명 목록에서 같은 위치에 ‘Hwp’라는 확장자가 2차례 중복 기재된 실수까지 똑같았다”고 설명했다. 이 밖에 웹하드 업체 홈페이지를 통해 악성코드를 유포한 수법 역시 두 차례의 디도스 공격과 농협 사건의 공통점으로 꼽혔다.

공격명령이 내려진 인터넷주소(IP) 중 일부가 3·4 디도스 공격 때와 일치한 점도 북한이 지목된 이유 중 하나다. 농협 서버 공격에는 13개국에 위치한 27개 IP가 동원됐는데 이 중 1개가 3·4 디도스 공격 때 쓰인 IP와 같은 것으로 나타났다. 3·4 디도스 공격 때는 70개국의 748개 IP가 쓰였고 이 중 3개가 7·7 디도스 대란 때와 일치했다. 7·7 디도스 대란의 공격 근원지가 북한 체신청이 중국에서 임대해 사용하는 IP였다는 점을 감안하면 결국 세 사건이 모두 북한의 소행일 수밖에 없다는 것이 검찰의 판단이다.

검찰과 공조수사를 벌인 국가정보원은 지난해 9월 일어난 북한발 미공개 해킹 사건 수사 과정에서 확보된 자료가 이번 농협 수사에 중요한 단서가 됐다고 밝혔다. 당시 북한이 관리하는 좀비PC 200여 대의 랜카드 맥어드레스(MAC Address·통신을 위해 부여된 고유번호)가 파악됐는데 그 속에 농협 서버 침입통로로 이용된 한국IBM 직원 한 씨의 노트북이 포함돼 있었다는 것이다. 그러나 국정원은 지난해 9월 일어난 해킹 사건의 실체에 대해서는 “디도스 공격 방식이 아니었다는 것 외에는 구체적으로 밝힐 수 없다”는 입장이다.

전성철 기자 dawn@donga.com