지난달 12일 발생한 사상 최악의 농협 전산망 마비 사태는 북한 정찰총국의 ‘사이버테러’에 의한 것으로 드러났다.

서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 3일 이번 사태가 2009년 7.7디도스 및 지난 3.4 디도스 공격을 감행했던 동일 집단이 장기간 치밀하게 준비해 실행한 것으로 결론났다면서 ‘북한이 관여한 초유의 사이버테러’라고 발표했다.

검찰은 공격명령의 진원지인 한국IBM 직원의 노트북을 분석한 결과, 공격에 사용된 악성코드를 암호화하는 방식이나 독특한 제작기법, 유포 경로 등이 앞선 두 차례 디도스 사건과 매우 유사한 것으로 나타났다고 밝혔다.

특히 좀비 PC로 만든 문제의 노트북에서 발견된 IP(인터넷 프로토콜) 1개는 3.4 디도스 때 이용된 것과 완전히 일치하는 것으로 조사됐다.

검찰은 범행 주체를 북한 정찰총국으로 지목한 데 대해 “문제의 노트북에서 발견된 IP 중 하나가 과거 정찰총국에서 사용해온 것이고, 노트북 자체도 작년 9월부터 이 기관에서 관리해 왔다”는 점을 근거로 들었다.

검찰은 북한 해커들이 이 노트북을 작년 9월4일부터 7개월간 집중적으로 관리하며 주요 내부 정보를 빼내고 원격 조정으로 공격을 감행한 사실을 밝혀냈다.

이 노트북은 북한이 작년 7월 감행한 사이버공격을 통해 좀비 PC로 만든 수천대 가운데 국가·금융기관 등에 쓰여 선별관리한 201대에 포함됐다. 이들은 문제의 노트북에 ‘백도어(Backdoor)’라 불리는 해킹 및 도청 프로그램을 설치해 노트북을 세밀하게 감시하면서 공격대상 IP와 서버에 접근할 수 있는 최고관리자 비밀번호를 알아낸 것으로 확인됐다.

이런 방식으로 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 심은 뒤 그날 오후 4시50분10초 인터넷을 이용한 원격조종 명령을 실행했으며, 이후 순차적으로 2·3차 공격을 감행해 총 587대의 농협 전산 서버 가운데 273대를 초토화했다.

이후 이들은 노트북을 실시간으로 모니터링하다 공격 성공과 파괴된 서버 개수까지 확인하고서 오후 5시20분께 노트북에 남아있던 명령 프로그램 등 관련 증거를 일제히 삭제해 추적을 어렵게 했다고 검찰은 설명했다.

검찰은 악성코드의 종류와 설계, 유포 기술, 준비 기간 등 수사결과 밝혀진 정황에 비춰 상당한 규모의 인적·물적 뒷받침 없이는 실행하기 어려운 범죄라는 결론을 내렸다.

검찰 관계자는 “이번 공격은 기관 홈페이지를 일시적으로 정지시키는 디도스 공격과 달리 시스템 자체를 파괴하는 ‘타깃형 집중공격’으로 완전히 새로운 형태의 사이버테러”라며 “북한발 사이버 공격에 대한 종합적 대책이 필요하다”고 말했다.