검찰은 3일 농협 전산망 장애 사태 수사 결과를 발표하면서 그 주체로 북한을 지목한 이유와 복잡한 침투 경로를 설명하는 데 상당한 시간을 할애했다. 이번 사태가 북한 소행으로 추정된다는 언론 보도가 이미 여러 차례 나왔기 때문에 검찰이 어떤 근거로 북한을 범인으로 지목했는지가 관심사였다.
검찰은 이런 점을 의식한 듯 이번 사태를 “장기간 치밀하게 준비된 새로운 형태의 사이버 테러”로 규정하며 수사 결과를 상세하게 설명했다. 공식 보도자료 외에 해킹 경로 등을 묘사한 시각물 및 용어설명 자료도 별도 배포했다. 난해한 사건인데다 사회적 이목이 집중된 만큼 취재진과의 질의응답은 1시간 넘도록 이어졌다.
“좀비PC ‘뒷문’ 통해 원격조종”
검찰은 국가정보원과 한국인터넷진흥원, 안철수연구소 등 전문기관들과 협력해 해킹 경로를 추적했다고 밝혔다.
수사 결과 북한 해커들은 철옹성같은 농협 전산망을 뚫기 위해 7개월 동안 치밀하게 준비해온 것으로 밝혀졌다. 해킹은 삭제명령을 실행할 좀비PC를 고르는 작업으로 시작됐다. 해커들은 지난해 9월4일 웹하드 사이트에 업데이트 프로그램으로 위장된 악성코드를 유포, 좀비PC들을 대량으로 확보했다. 이들은 PC에 담긴 정보를 빼내 분석하던 중 한국IBM 직원의 노트북이 농협 전산시스템 관리자가 사용하는 것으로 확인되자 집중관리에 들어갔다. 농협 전산망을 마비시키기 위한 매개체를 발견한 것이다.
범인들은 이 노트북에 악성코드를 심고 정보를 빼내기 위해 지난 3월11일 ‘백도어’(Backdoorㆍ불법 침입을 위한 뒷문이라는 의미)라는 해킹 프로그램을 설치했다. 노트북에 담긴 각종 자료와 모든 입력 정보를 빼가기 위한 목적이었다. 이 프로그램을 통해 한 달 동안 사용자가 PC에 입력했다 유출된 정보만 A4 용지 1,073페이지에 달했다. 이중삼중의 방화벽 통과가 가능했던 것은 ‘뒷문’을 통해서 몰래 들어왔기 때문이라고 검찰은 설명했다.
이들은 나아가 노트북에 도청 프로그램까지 설치해 사용자의 일거수일투족을 감시했고 공격 대상 IP(인터넷 주소)와 최고접근권한(Super Root) 비밀번호도 알아내 공격 준비를 모두 마쳤다. 3월22일 파일 삭제 프로그램을 설치한 해커들은 범행 후 흔적을 없앨 장치까지 노트북에 심는 치밀함을 보였다.
해커들은 지난달 12일 오전8시20분에 공격명령 파일을 노트북에 설치한 후 오후4시50분 인터넷을 이용한 원격제어로 공격명령 프로그램을 실행했다. 이때부터 농협의 전산망이 파괴되기 시작됐다. 내부 서버 파괴에 이어 2차, 3차 공격이 잇달아 터져 587대의 서버 중 273대가 파괴됐다. 공격 성공 여부를 노트북에 설치된 모니터링 프로그램을 통해 실시간으로 지켜보던 범인들은 흔적을 남기지 않기 위해 공격 실행 40분 후인 오후5시30분께 미리 심어둔 삭제 프로그램을 이용해 악성코드를 없앴다.
검찰은 “해커가 설치한 각종 프로그램이 유기적으로 연결돼 있어 1회의 공격명령으로 모든 공격이 순차적으로 이뤄졌으며 데이터도 완전히 삭제되도록 만들어졌다”고 말했다.
“디도스 대란과 닮은꼴”
검찰이 북한을 범행 주체로 지목한 결정적인 이유는 과거 두 차례 발생한 디도스(분산서비스거부ㆍDDos) 대란 때 범인이 남긴 흔적 때문이다. 농협 전산망 마비 사태에 범인들이 사용한 수법이 2009년 7월 발생한 ‘7ㆍ7 디도스 대란’ 및 지난 3월 발생한 ‘3ㆍ4 디도스 공격’ 때와 거의 일치한다는 것이다.
우선 악성코드가 발각되지 않도록 암호화한 방식이 3ㆍ4 당시와 거의 같다고 검찰은 밝혔다. 예를 들면 알파벳 A로 시작하는 45자의 암호 키가 같다는 것이다. 검찰은 “삭제프로그램에서 호출하도록 돼있는 30여 개의 파일 확장자 종류 및 순서가 3ㆍ4 때와 100% 일치하고, 7ㆍ7 당시와도 93% 일치했다”고 강조했다. 또 프로그램 분석을 곤란하게 만들기 위해 특정 부분을 알아보기 어렵도록 문자를 치환해 표기한 방식도 7ㆍ7 때와 동일한 것도 검찰의 심증을 굳혔다.
악성코드를 배포한 방식도 웹하드 사이트의 업데이트 프로그램을 활용했다는 점에서 과거 디도스 공격과 흡사했으며, 일부 악성코드는 이름까지 3ㆍ4 때와 같았다. 좀비PC로 활용된 노트북에서 발견된 공격명령 서버 IP 1개가 3ㆍ4 때 이용됐던 점도 이번 사태를 북한 소행으로 단정짓는 데 결정적 근거로 제시됐다.
검찰 관계자는 “북한은 노트북에 장착된 무선랜카드의 맥어드레스(네트워크 통신시 랜카드에 부여되는 하드웨어 주소)를 좀비ID로 확보하고 노트북을 특별 관리했다”고 밝혔다.
허술한 보안관리
검찰은 범행 주체와 경로를 설명하면서 농협의 보안조치가 미비했다는 점도 지적했다. 검찰 조사 결과 전산시스템 접속계정 비밀번호는 매월 변경해야 하지만 농협의 비밀번호는 지난해 7월 이후 바뀐 적이 없었다. 그런데도 관리대장에는 매월 변경한 것으로 허위 기재했고 농협 직원들은 비밀번호를 유지보수업체 직원과도 공유했다.
또 유지보수업체 직원들이 노트북으로 무선인터넷을 이용할 때 정식으로 승인을 받아야 하지만 지켜지지 않았고, 노트북이 외부로 자유롭게 반출돼 보안 관리에 허점이 많았다는 점도 확인됐다. 검찰은 “보안규정을 준수하고 비밀번호만 자주 변경했어도 큰 피해는 막을 수 있었다”고 강조했다.
강철원기자 strong@hk.co.kr
기사 URL이 복사되었습니다.
댓글0