[농협 기획] 검찰 수사 발표 내용

관련 통계자료 다운로드 검찰수사 결과의 5대 의문

 검찰이 3일 농협 전산망 마비 사태의 주범으로 북한을 지목하면서 의구심이 해소되기는커녕 증폭되고 있다는 게 업계의 분위기다. 일부 전문가들은 검찰이 확실한 증거 없이 예단을 갖고 결론을 내렸다는 지적이다.

 검찰은 이날 발표에서 농협 전산망 공격에는 두 차례 발생한 DDoS 공격과 대단히 유사한 기법이 사용됐다고 밝혔다. 악성코드가 발각되지 않도록 암호화하는 방식이 3·4 DDoS 사태와 거의 일치한다는 것이다. 삭제 프로그램에서 호출하도록 설정된 30여개의 파일 확장자 종류와 순서 역시 3·4 DDoS와 완전히 동일하고 7·7 DDoS와는 대단히 유사하다고 검찰 측은 설명했다.

 악성코드 유포 경로와 유포 방식도 동일하다는 게 검찰 측 주장이다. 이번 사건에 사용된 악성코드는 웹하드 사이트 업데이트 프로그램처럼 위장해 배포됐고, 일부 악성코드의 이름은 3·4 DDoS 당시와 동일하다는 것이다.

 검찰은 공격 세력이 좀비PC를 조종하기 위해 국외에 마련한 서버 IP(인터넷 프로토콜) 1개도 3·4 DDoS에 이용된 것과 같다는 사실도 밝혀냈다.

 이 같은 내용을 근거로 검찰은 공격 주체가 북한이라고 단정했다. 하지만 보안 전문가들은 섣불리 단정하기 어렵다는 반응을 보이고 있다. 한 보안 전문가는 “정부가 모든 정보를 보유한 지금, 정확한 상황을 알기 어렵다”면서도 “북한의 소행이라고 단정하기 어렵다”고 말했다.

 우선 지난 두 차례의 DDoS 공격이 북한의 소행으로 확정되지 않았다는 점이 가장 큰 의구심으로 꼽힌다. 당시에도 관계당국은 북한이 개입했을 것으로 추정된다는 정황적 결론만 내렸을 뿐, 확실한 증거를 찾지 못했다. 7·7 DDoS 당시 북한체신청이 IP를 임대했다는 것도 확실치 않고, 설령 그렇다 해도 제3자가 고의로 IP를 이용했을 가능성을 배제하기 어렵다는 것이 전문가들의 지적이다.

 7개월 동안 한국IBM 직원의 노트북PC가 좀비PC로 작동했다는 사실도 의문이다. 원격제어를 통해 농협 서버에 삭제명령을 내렸다는 점 역시 이해하기 어렵다는 반응이다. 또 다른 전문가는 “사이버 공격만 발생하면 북한의 소행이라고 결론을 내는 모습은 문제가 있다”며 “이번 사태 역시 범인을 찾지 못한 채 흐지부지될 가능성이 높다”고 말했다.

 검찰 관계자는 이에 대해 “노트북PC에서 발견한 국외 IP 추적 등의 보강 수사는 앞으로 계속할 것”이라고 밝혔다.

박창규기자 kyu@etnews.co.kr


브랜드 뉴스룸