3일 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 이번 농협 사태가 "2009년 7월과 지난 3월 발생한 디도스 공격과 동일 집단의 소행"이라며 "장기간 치밀하게 준비해 실행한 것으로, 북한이 관여한 초유의 사이버테러"라고 발표했다.
먼저 검찰은 농협 서버관리 협력업체인 한국IBM 직원의 노트북에서 발견된 81개 악성코드를 분석한 결과, 농협 서버 공격에 사용된 악성코드 암호화 방식과 제작기법이 앞선 두 차례의 디도스 공격과 매우 유사했다고 밝혔다.
▲ 서울중앙지방검찰청 첨단범죄수사제2부 김영대 부장검사가 3일 서울 중앙지검 브리핑실에서 농협 전산망 장애사건 수사 결과를 발표하고 있다. ⓒ연합뉴스 |
아울러 악성코드의 유포 경로와 방식 역시 흡사할 뿐만 아니라, 공격에 활용한 좀비PC를 조종하기 위해 이용한 서버 IP(인터넷 프로토콜) 1개는 지난 3월 디도스 공격에 이용된 것과 완전히 일치하는 것으로 조사됐다.
검찰은 악성코드의 종류와 설계 및 유포기술, 준비 기간 등 수사결과 밝혀진 정황에 비춰 상당한 규모의 인적·물적 뒷받침이 없이는 실행하기 어려운 범죄라는 결론을 내렸다.
검찰 관계자는 "이번 사이버 테러는 피해 확산을 막기 위해 서버 운영을 중단해야 할 만큼 강력한 테러였다"며 "북한의 새로운 사이버 공격 방식에 대한 대책이 절실하다"고 말했다.
보안업계 갸우뚱…"北 소행 단정짓기엔 근거 약해"
반면 보안업계는 이번 사태가 북한의 소행이라는 검찰의 결론에 대해 섣불리 단정하기 어렵다는 반응을 보이고 있다.
한 보안 전문가는 이날 <연합뉴스>와의 인터뷰에서 "정부가 모든 정보를 가지고 있기 때문에 정확한 상황을 알기 어렵다"고 전제하면서도 "북한의 소행이라고 단정짓기 어렵다"고 말했다.
이 전문가는 "IP는 조작이 가능한 만큼 IP만 가지고 이번 농협 사태의 범인이 7.7, 3.4 디도스 공격과 동일범이라고 하기엔 근거가 약하다"면서 "더군다나 7.7이나 3.4 디도스 공격을 북한이 감행했다는 증거도 아직 없지 않느냐"고 반문했다.
7.7 디도스 공격 때 사용된 IP가 북한 체신청이 임대했다는 증거가 확실하지 않은데다, 북한 체신청이 IP를 임대했다고 해도 누군가 고의로 IP를 악용했을 가능성을 배제하기 어렵다는 설명이다.
한국IBM 직원 노트북이 2010년 9월 이후 좀비 PC가 되면서 원격제어로 서버에 삭제 명령을 내린데 대해서도 의문이 제기되고 있다. 다른 보안 전문가는 "가능성은 있지만, 일반 네티즌도 아니고 농협 서버관리 협력업체인 한국IBM 직원의 노트북이 7개월간 좀비 PC가 된 사실을 몰랐다는 게 이해가 되지 않는다"고 말했다.
또 다른 보안 전문가는 "정확한 정보 공개가 없는 한 외부에서 이번 발표에 대해 말하는 것이 조심스럽다"면서도 "북한 소행으로 추정된다는 검찰 발표는 결국 범인을 찾지 못했다는 뜻이 아니냐"고 말했다.
그는 "북한의 소행일수도, 아닐수도 있지만 지금까지 아무것도 밝혀지지 않은 상태"라며 "디도스 대란 이후부터 사이버 공격만 발생하면 북한 소행으로 결론짓는 행태는 문제가 있다"고 비판했다.
전체댓글 0