농협 전산장애를 수사중인 서울중앙지검은 북한 정찰총국의 사이버 테러라고 결론내렸다. 2009년 7월 7일, 2011년 3월 4일 분산서비스거부(DDoS) 공격을 감행했던 동일집단이 장기간 치밀하게 준비, 실행한 사이버 테러라는 것이다.
4월 12일 발생한 농협 전산장애는 이후 장기간의 전산망 마비로 이어지면서 사상 최악의 금융사고로 평가된다. 이 같은 공격이 고도화된 전문지식을 갖추고 표적공격을 진행한 북한 정찰총국의 작품이란 것이 검찰의 설명이다.
이러한 결론의 배경으로 검찰은 공격을 감행한 한국IBM 직원 노트북에서 발견된 81개 악성코드가 암호화돼 은닉되는 등 독특한 제작기법이 앞선 두 차례 DDoS 사건과 매우 유사하다는 점을 꼽았다. 또 악성코드 유포 경로와 방식이 유사하며, 좀비PC를 원격조종하기 위한 IP 중 하나는 3·4 DDoS 당시 이용됐던 것이라는 점도 북한발 공격을 결론내린 배경이다.
검찰은 공격 명령의 발원지인 한국IBM 직원의 노트북을 2010년 9월 4일 좀비PC로 만든 뒤 7개월간 집중적으로 관리하면서 내부 정보를 빼내고서 원격 조정으로 공격을 감행했다고 설명했다. 문제의 노트북에 악성코드와 함께 백도어 프로그램을 설치, 공격대상 IP와 최고관리자의 비밀번호를 습득해 12일 오전 8시 20분 공격명령 파일을 노트북에 설치, 오후 4시 50분 인터넷을 이용한 원격제어로 명령을 실행함으로써 농협 전산망을 초토화시켰다는 것이다.
다른 한편, 검찰은 끊임없이 의심이 됐던 내부자의 공모나 외부 해커와의 공모에 대해서는 단서를 찾지 못했다.
검찰의 발표에도 불구하고, 북한 공격 결론에 대한 의문점은 여전히 남아 있다. 우선 내부 공모 없이 외부에서의 순수 해킹만으로는 무척 어려운 공격이라는 것은 사건초기부터 끊임없이 지적된 부분이란 점이다. 이정도의 대규모의 파괴력은 내부 시스템에 대한 이해가 필수적이기 때문이다. 7개월간의 은닉과 모니터링을 통해 농협 내부 시스템을 파악하고, 더불어 농협의 서버 관리의 허술함도 있지만 내부 공모 없이 외부의 해킹으로 이것이 가능하다는 점은 여전한 의문점이다.
더불어 검찰의 설명 중 내부 서버에 대한 삭제 명령어가 원격 입력으로 수행됐다는 점도 의문점이다. 의한 삭제 명령이 외부 원격 입력에 의해 수행됐다는 점은 상식적으로도 이뤄질 수 없는 일인 까닭이다. 이는 그만큼 농협의 권한관리 수준이 엉망이었다는 반증도 되지만, 이에 대해서는 검찰이 처벌대상이 아님을 밝혀 허술한 관리 상태에 대한 확인에 그쳤다.
나아가 북한이란 명확한 물증이 존재하지 않는다는 지적도 있다. 북한으로 배후를 추정할 뿐 북한이란 명확한 증거는 발견하지 못한 것. 이에 일각에서는 “배후는 북한이란 것은 범인을 못찾았다는 얘기”, “외계인 짓이라는 게 더 가능성이 높아 보안다”는 등의 비아냥 어린 반응도 나오고 있다.
