데이터 완전 삭제 때까지 정밀 공격“디도스공격과 차원 다른 신종 수법” “자본주의 사회 기본 인프라인 금융기관 시스템 자체를 파괴하는 완전히 새로운 형태의 사이버테러 행위다.”
검찰 관계자는 3일 농협 전산망 마비 사건을 이렇게 정의했다. 이 관계자는 “관공서 등 다수 기관의 인터넷 홈페이지 운영을 일시적으로 방해하는 기존 ‘디도스’ 공격과는 아예 차원이 다르다”며 “특정한 1개 기관을 표적으로 삼은 집중적 공격”이라고 설명했다.
검찰에 따르면 이번 공격은 북한 정찰총국 소속 해커들이 지난해 9월4일 농협 전산망 관리 협력업체인 한국IBM 직원 한모씨가 쓰는 노트북에 악성 코드를 유포한 것에서 비롯했다. 한씨는 시스템 업데이트를 위해 필요한 프로그램인 줄 알고 그냥 다운로드를 받았는데, 결국 해커들이 시키는 대로 따르는 ‘좀비PC’가 돼버린 것이다.
실제로 한씨는 검찰 조사에서 “나도 모르는 사이에 내 노트북이 ‘좀비PC’가 됐다. 귀신에 홀린 기분”이라고 진술한 것으로 전해졌다. 검찰이 한씨 노트북에서 찾아낸 악성 코드는 무려 81개에 이른다.
한씨 노트북에 심어진 악성 코드는 이미 저장된 각종 자료는 물론 새로 입력되는 정보까지 모두 빼내 해커들한테 보냈다. 해커들은 노트북에 도청 프로그램까지 설치했는데, 이를 통해 노트북 이용자의 일거수일투족이 실시간 전송됐다. 해커들은 가만히 앉아 농협 서버를 움직이는 IP(인터넷 프로토콜)와 최고관리자 비밀번호까지 알아낼 수 있었다. 서버 삭제 명령 실행 직전 1개월간 해커들이 노트북에서 빼낸 정보는 A4용지로 1073페이지 분량에 해당한다.
7개월 넘게 한씨 노트북을 관리한 해커들은 지난달 12일 오전 8시20분 “서버를 삭제하라”는 공격 명령 파일을 설치하고 그날 오후 4시50분 인터넷을 이용한 원격조종으로 파일을 실행했다. 이후 총 587개에 이르는 농협 서버 중 273개가 차례로 공격당하면서 농협 전산망이 붕괴했다.
 |
| 서울중앙지방검찰청 첨단범죄수사 제2부 김영대 부장검사가 3일 서울 중앙지검 브리핑실에서 농협 전산망 장애사건 수사 결과를 발표하고 있다. 허정호 기자 |
이번 테러로 314개의 서버는 파괴되지 않은 채 살아남았지만 농협은 추가 피해를 우려해 이들조차 운행을 중단시켰다. 수사팀 관계자는 “해커들이 원격조종으로 공격 명령을 1차례 내리면 공격에 쓰인 각종 프로그램이 유기적으로 연결돼 자동으로 차례차례 실행되는 구조로 설계돼 있다”며 “공격 내용도 모든 데이터를 삭제해 0으로 만들어 서버 운행을 완전히 중단시킬 정도로 강력했다”고 설명했다.
해커들은 미리 설치한 모니터링 프로그램을 통해 서버 파괴 명령이 잘 실행되고 있는지, 서버가 몇개나 파괴됐는지 등을 실시간 확인했다. 농협 전산망이 마비된 사실을 확인한 해커들은 오후 5시20분쯤 증거인멸을 위해 노트북에 남아 있는 공격용 프로그램 등을 모조리 삭제했다.
이 때문에 수사에 나선 검찰이 한씨 노트북을 분석하기가 몹시 어려웠다고 한다. 검찰 관계자는 “악성 코드가 기능별로 별개 파일로 나뉘어진 데다 노트북 구석구석에 분산돼 숨어 있어 복구하기가 무척 힘들었다”며 “7개월 이상 장기간 치밀하게 준비한 신종 사이버테러임을 보여준다”고 말했다.
김태훈 기자
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]
![[설왕설래] ‘공로명 세미나실’](http://img.segye.com/content/image/2024/07/04/128/20240704517119.jpg
)
![[기자가만난세상] 오버투어리즘 깨운 홋카이도 경적](http://img.segye.com/content/image/2022/07/11/128/20220711522634.jpg
)
![[세계와우리] 中 새 해경법, 예의 주시해야](http://img.segye.com/content/image/2024/03/21/128/20240321519850.jpg
)
