‘서버 관리용 노트북’ 어찌 알고 콕 찍었나

김영대 서울중앙지방검찰청 첨단범죄수사2부장(오른쪽)이 3일 오전 서울 서초구 서초동 서울중앙지검 브리핑실에서 농협 전산망 마비 사건의 주범이 북한이라는 내용의 수사 결과를 발표하는 모습이 커다란 컴퓨터 화면에 비치고 있다. 이종근 기자 root2@hani.co.kr

“농협 해킹은 북 소행” 의문점

검찰이 3일 수사결과 발표를 통해 지난달 12일 발생한 농협 전산망 마비 사태는 ‘북한 소행’이라고 밝혔지만, 여러 의문점이 풀리지 않고 있다. 국내 보안시스템 전문가와 전산시스템 구축 전문가들로부터 수사결과 발표에도 남는 궁금점을 들어봤다.

좀비피시 기능, 내부망서 못걸렀나

인터넷 단절땐 작동 못해

■ 차단된 IP통해 명령? 검찰이 북한을 공격 배후로 지목했지만 ‘스모킹 건’(결정적 증거)은 없다. 검찰은 2009년 7·7, 올해 3·4 분산서비스거부(DDoS) 공격 때 사용된 악성코드의 제작 기법과 유포 경로가 매우 유사하다는 점과 좀비피시(PC)에 명령을 내린 서버의 인터넷 주소(IP) 한곳이 3·4 디도스 공격 때의 아이피와 일치한다는 점 등을 근거로 범인을 디도스 공격을 저지른 주체와 동일집단으로 추정했다.

공격 명령을 내린 서버의 아이피가 디도스 때와 같다는 점도 석연치 않다. 올해 디도스 공격 직후 국외 명령서버(C&C서버)의 아이피는 국내 접근이 차단됐다. 이미 차단된 서버가 좀비피시를 통해 공격했다는 게 설명되지 않는다. 한 전문가는 지난 3월11일에 노트북에 깔린 백도어 프로그램의 역할에 대해서도 의문을 제기했다. 백도어 프로그램은 인터넷에 연결된 상태에서 기능하므로 인터넷과 단절된 농협 내부망(인트라넷)에 물리는 순간 아무 쓸모가 없게 되기 때문이다. 또 노트북이 농협 내부에서 인터넷과 연결되었다고 해도 방화벽과 보안프로그램에 막혀 좀비피시 기능을 할 수 없다는 설명이다.

왜 정부 아닌 금융기관 표적 삼았나

드러난 아이피로 공격 의문

■ 해킹 목적? 공격 목적도 의문이다. 북한이 우연히 보안이 취약한 경로를 알게 됐다고 해도, 민간 금융기관을 공격대상으로 삼았다는 점도 궁금하다. 정부 주요기관을 대상으로 해서 막대한 손실을 입히거나 중요 자료를 탈취한 것도 아니고, 민간 금융기관을 대상으로 해 불특정 다수의 피해자를 발생시켰기 때문이다. 조직적인 사이버 공격일 경우 정보 취득이나 네트워크 교란이라는 목표를 지니게 마련인데, 공격자가 정체와 공격 수법을 드러내고 상대의 대응 태세만 강화시켜준 꼴이다.

해킹이나 디도스 공격은 증거를 남기지 않는 게 무엇보다 중요하기 때문에 대부분 공격원을 찾아내지 못한다. 범인이 드러날 때는 대개 금품 요구나 과시 등 자신이 정체를 드러내는 경우다. 한 보안업체 전문가는 “이미 드러난 아이피를 통해서 또다시 공격을 했다면 공격 주체가 바보라는 것밖에 안 된다”며 제3의 세력이 정체를 위장했을 가능성도 제기했다.

■ 전지전능 범인? 농협 전산시스템 전체를 파괴시킬 수 있는 열쇠인 한국 아이비엠(IBM) 직원의 시스템관리용 노트북을 정확하게 찾아내 좀비피시로 만들어 ‘특별관리’해오고, 최고관리자 비밀번호를 취득했다는 점도 전문가들이 의아스럽게 여기는 대목이다. 농협 전산시스템의 구조와 업무 흐름을 잘 알고 있는 관련자의 도움 없이 외부에서 금융 보안시스템을 파악하고 공격 경로를 지목해 실행한다는 것은 가능성이 낮다는 지적이다. 또다른 보안전문가는 “은행 보안시스템 서버관리용 노트북이 7개월간 좀비피시가 된 사실을 몰랐다는 것도 이해가 되지 않는다”고 말했다.

<한국아이티산업의 멸망> 저자 김인성씨는 “북한이 범인이라고 해도 중요한 것은 이번처럼 공격에 노출된 시스템과 그 관리 책임”이라며 “관련 수사자료를 공개해 제3의 검증기관이 분석할 수 있게 해주는 것도 보안을 높일 수 있는 조처”라고 말했다. 구본권 기자 starry9@hani.co.kr