사상 초유의 농협 전산망 마비 사태가 '북한 소행'이라는 검찰수사결과가 3일 발표됐다. 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 이번 사태가 지난 7.7 분산서비스거부(DDoS)공격 및 지난 3.4 DDoS공격에 배후로 지목된 북한의 사이버테러라고 밝혔다.
사실상 수사진행 과정 중에도 언론보도를 통해 끊임없이 북한이 배후라는 근거가 제시돼왔다. 하지만 일각에서는 기술적인 문제점을 제기하며 그 근거가 석연치 않다는 반응이다.
■북한발 IP주소 발견...북한 소행 단언할 수 있나?
우선 농협 사태가 북한 소행이라는 근거로, 검찰은 삭제 명령의 진원지였던 한국IBM 직원 노트북과 서버를 역추적한 결과 그 중 하나가 북한발 인터넷프로토콜(IP)일 가능성을 제기했다.
하지만 3일 익명을 요구한 한 보안전문가는 서버경유와 IP주소 변조를 통해 얼마든지 북한발 IP주소를 사용했을 수 있다면서 방화벽에 흔적을 분석하면 확인되는 IP주소들의 대부분의 해킹시도들은 모두 서버경유 등을 통해 이뤄지기 때문에 다국적의 IP주소가 나타나며, 북한IP로 추정되는 것도 그 중 하나일 뿐이라고 설명했다.
또 다른 전문가는 대부분 금융권은 방화벽만 다중으로 보안을 유지하고 있다면서 만일 이것이 뚫렸다면 지능화된 해커소행인 것도 문제지만 농협 전산망에도 큰 결함이 있다는 것이 더 큰 문제가 아니냐면서, 사실상 그 동안에 발생한 해킹시도들을 분석해봐도 서버경유를 통해 들어온 중국 체신청 IP는 종종 포착되어 오곤 했다고 말했다.
금융권의 한 관계자는 현재 금융권에서는 중국을 통한 해킹시도가 워낙 빈번하게 이뤄지고 있어서 모든 중국IP는 무조건 차단하고 있다고 말했다.■IBM직원 노트북이 좀비PC?…7.7 및 3.4공격과 유사해
검찰은 3일 브리핑을 통해 이번 사건에 사용된 악성코드의 유포경로와 방식, 그리고 좀비PC를 조종하기 위해 이용된 서버 IP가 그 동안 있어왔던 두 차례 DDoS공격과 일치한다는 조사결과를 발표했다. 또한 IBM직원 노트북에서 발견된 악성코드가 쉽게 발견되지 않도록 암호화하는 방식 등 독특한 제작기법을 사용한 것을 증거로 들어 두 차례 DDoS사건과 유사하다고 밝혔다.
하지만 이에 대해 보안전문가들은 이해할 수 없는 근거라는 입장이다. 익명을 요구한 한 보안전문가는 앞선 두 차례 공격같은 경우에는 설치되면 별도 명령을 전달하지 않아도 지정된 시간에 자동으로 동작하도록 설계되어 있었다며 하지만 이번 농협의 경우 악성코드가 이용됐다면 공격에 사용된 PC를 인터렉티브하게 통제하는 형태의 공격이기 때문에 앞선 DDoS공격과는 성격이 다르다고 말했다.
또 한 해킹전문가는 과거 두 차례의 DDoS공격은 암호화되지 않았기 때문에 미리 다음 공격시간을 예상할 수 있었던 것이라면서 검찰이 주장하는 것처럼 농협공격에 사용된 악성코드가 암호화되어 쉽게 발견하지 못했었다라는 주장은 앞뒤가 맞지 않는 이야기라고 말했다.
그는 아무리 보안이 허술했다고 하더라도 IT전문가가 사용하던 노트북인데 그토록 오랜 시간 감염사실이나 해킹사실을 몰랐다는 것도 이해가 가지 않는다고 말했다.
■연루된 내부자 정말 없는 걸까?
현재까지 검찰은 내부자가 연루된 정확한 증거나 정황을 포착하지 못했다는 입장이다. 하지만 관련업계는 아무리 백도어 해킹 프로그램이 설치되어 있었다하더라도 그 많은 서버의 ID와 패스워드를 알아내 삭제할 수 있었던 점과 루트권한을 탈취했다는 점은 석연치 않다고 말했다.
무엇보다 여러명의 관리자 컴퓨터 중에 어떻게 그 컴퓨터에만 백도어 프로그램이 설치될 수 있었느냐는 것도 의문점으로 남았다.
한 보안전문가는 장기간 백도어 프로그램을 통해 정보를 수집했다고 하더라도 농협내부에서 사용되는 모든 서버관리계정을 꽤뚫고 있다는 것은 협조하는 내부자 없이는 상식적으로 어려운 일이라고 말했다.
익명을 요구한 또 다른 보안전문가도 이토록 짧은 시간 안에 수백대의 서버를 동시 공격했다는 것은 IP주소나 루트계정 등 서버현황 파악이 확실하게 이뤄지지 않으면 아무리 지능화된 해커라도 기술적으로 불가능하다면서 현실적으로 내부협조 없이는 쉽지 않은 공격이라고 말했다.
관련기사
- 농협 유닉스 명령어 “악의적일 수밖에 없다”2011.05.03
- 농협사태 내부자, 외부해커와 공조?2011.05.03
- 농협 내부범행 정말 몰랐나?, 로그기록 보면...2011.05.03
- 농협사태 '내부소행' 정황 증거 속속 드러나2011.05.03
검찰 관계자는 북한소행인 것도 여러가지 정황증거에 비춰 내린 추정에 불과하다며 추정에 불과한 정황증거지만 추가적인 근거는 구체적으로 언급하기 곤란하다고 밝혔다.
앞서 제기된 의문점은 관련업계 일부 전문가들의 주장이지만, 이들은 이번 검찰의 발표가 신뢰를 얻기 위해서는 좀 더 확실한 기술적 정황증거를 가지고 구체적인 근거를 제시해야 한다고 입을 모았다.
