‘농협 해킹’ 여전히 남는 의문들
사상 초유의 금융회사 전산망 완전 해킹 사건은 결국 북한의 사이버 테러 공격으로 결론이 났다. 농협 전산망 장애 수사를 벌인 서울중앙지방검찰청 첨단범죄수사제2부(부장검사 김영대)는 5월 3일 서초동 청사 브리핑룸에서 수사 결과를 발표했다.검찰이 이번 사태를 북한의 소행으로 결론지은 데는 몇 가지 정황 증거가 있다. 우선 문제가 된 노트북에 장착된 무선 랜카드 맥드레스가 좀비 아이디로 확보됐다는 설명이다.
이 좀비 아이디가 북한에서 특별 관리해 오던 것으로 확인됐다는 것. 또 7개월이라는 장기간의 범행 과정을 실현하기 위해서는 상당한 규모의 인력이 필요한데, 몇 십 명 정도의 인원이 특별한 이유도 없이 해킹에 참여했다는 것도 북한의 소행을 의심하게 한다는 발표도 이어졌다. 범행 수법 역시 3·4, 7·7 디도스 수법과 거의 유사하다는 것이 검찰의 얘기다.
검찰은 또한 특별히 농협을 타깃으로 한 이유가 있느냐는 질문에 “농협을 타깃으로 정했다기보다는 악성코드 유포 과정에서 협력업체 직원의 노트북이 감염됐고, 이 사람이 마침 농협 일을 했기에 농협이 피해를 봤다”고 답했다.
검찰은 이어 농협의 서버는 내부와 외부가 분리돼 있지 않았으며 보안 프로그램이 깔려 있었다면 웹하드에 접속할 수 없었기 때문에 이번 사태를 막을 수 있었을 것으로 본다고 밝혔다.
“보안 프로그램만 깔렸어도 막을 수 있었다”
별다른 의문이나 이견 없이 듣고 넘어가면 ‘그러려니’ 할 수 있지만 사실 검찰의 수사 결과는 이해되지 않는 점이 많다는 게 보안·정보기술(IT) 전문가들의 견해다. 우선 북한의 체신성이 중국에서 임대했다는 IP(인터넷 프로토콜) 주소가 디도스 공격 때의 IP 주소와 같다는 점이다.
IP 주소는 인터넷 접속 시 부여받는 고유 주소로 일종의 신분증과 같다. 전문가들은 IP 조작은 얼마든지 가능하며 한 번 사용한 IP를 다시 사용하는 범인이 있겠느냐는 회의론이 많다. 또 전 세계 해커들의 반 이상이 중국의 IP를 이용한다고 한다.
이를 굳이 북한과 연결시키는 것 자체가 무리라는 뜻. 실제로 검찰은 좀비 PC가 된 IBM 직원의 노트북에서 발견된 27개의 IP 중 실제 공격에 가담한 IP는 찾아내지 못한 것으로 알려졌다.
지난 디도스 공격 때와 범행 수법이 유사하다는 대목도 설득력이 떨어진다. 사실상 ‘북한이 의심된다’는 수준의 추정을 통해 또 다른 추정으로 사건을 결론지었기 때문이다. 이번 사건 역시 영구 미제 사건으로 남을 가능성이 크다고 보는 이유다.
서버 관리와 보안을 맡은 IBM 직원이 그 흔한 백신 프로그램 하나 없이 자신의 노트북이 감염됐다는 사실을 7개월이나 모르고 있었다는 것도 의아스럽긴 마찬가지다. 농협은 사건과 관련해 IBM에 책임을 묻는 소송을 진행할 예정인데, 이 과정에서 검찰이 ‘국가 안보’를 이유로 속 시원히 밝히지 않은 부분들이 해명될지에도 관심이 모아진다. 경우에 따라서는 책임 소재를 묻는 소송전이 국제적인 관심사로 떠오를 수도 있다.
장진원 기자 jjw@hankyung.com