검찰은 농협 전산망 장애 사태를 일으킨 주체를 북한으로 지목했지만 그러한 결론을 내릴 수 있었던 구체적 방법에 대해서는 “국가 안보와 관련된 부분으로 말하기 곤란하다”는 입장을 밝혔다. 다음은 수사 결과를 발표한 김영대 서울중앙지검 첨단범죄수사2부장과의 일문일답이다.
_ 이번 사건을 북한 소행으로 단정하는 근거는 무엇인가.
“지난해 9월 유포된 악성코드에 감염된 PC의 맥어드레스(무선 랜카드 고유번호) 목록을 확보하고 있었다. 이 가운데 농협 전산망 관리협력업체인 한국IBM 직원 한모씨 노트북의 맥어드레스가 포함돼 있었다. 악성코드를 유포한 세력은 북한으로, 한씨의 노트북도 북한이 관리하던 좀비PC의 하나인 것으로 확인됐다.”
_ 북한이 관리하고 있었다는 것은 구체적으로 어떻게 확인했나.
“국가 안보와 관련된 부분으로 말하기 곤란하다.”
_ 7ㆍ7 디도스 공격 때 북한 체신청이 임대한 IP가 발견된 것처럼 이번에도 북한 쪽 IP가 발견된 것은 있나.
“IP가 북한으로 확인된 것은 없다. 다만 노트북에서 발견된 공격명령 서버 IP 하나가 3ㆍ4 디도스 사건에 이용된 것과 동일하다. 그 밖에 지난해 9월 유포된 해킹 프로그램을 분석하면서 북한으로 의심하는 상태였는데, 3ㆍ4 디도스 사건을 조사하면서 북한으로 확정할 수 있었다.”
_ 지난해 9월 악성코드 유포와 3ㆍ4 디도스 공격 때의 IP가 동일하다고 해서 북한이라고 단정할 수 있나.
“IP 한 개가 일치할 수 있는 확률은 43억분의 1이다. 같은 집단(북한)이 했다고 확신할 수 있다.”
_ 3ㆍ4 디도스 공격 때도 북한으로 추정만 한 상태였는데, 이번 사태가 3ㆍ4와 비슷하다고 또 다시 추정을 해서 북한으로 확신할 수 있는 것인가.
“사건의 규모, 과정, 프로그램 설계 방식, 실제 이행된 효과 등 모든 것을 종합해보면 그렇게 판단할 수밖에 없다”
_ 한씨 노트북에 보안 프로그램이 깔려 있었다면 전산망 장애를 막을 수 있었나.
“농협에서 사용하는 보안 프로그램이 깔려 있었다면 웹하드 사이트에 접속을 못하게 된다. 그 점을 볼 때 막을 수 있었을 것으로 생각한다.”
_ 3ㆍ4 디도스 공격 이후 농협만 따로 공격한 이유가 있나.
“3ㆍ4 디도스 공격은 효과 없이 마무리됐다. 이 때문에 지난해부터 집중 관리하고 있던 한씨 노트북을 통해 또 다른 공격 대상으로 잠재적으로 올라 있던 농협을 공격한 것으로 추정한다.”
권지윤기자 legend8169@hk.co.kr
기사 URL이 복사되었습니다.
댓글0