사상 초유의 농협 전산망 마비 사태가 북한 정찰총국의 사이버테러에 의한 것으로 발표된 뒤 논란이 증폭하고 있다. 서울중앙지검 첨단범죄수사2부는 3일 이번 사태가 2009년 7·7 디도스 및 지난 3·4 디도스 공격을 감행했던 동일 집단이 장기간 치밀하게 준비해 실행한 것으로 “북한이 관여한 초유의 사이버테러”라고 발표했다.

◆어떻게 침투했나= 검찰은 범인들이 공격 명령의 발원지인 한국IBM 직원의 노트북에 2010년 9월 4일 악성코드와 백도어를 설치해 좀비PC로 만든 뒤 7개월간 집중 관리하면서 내부 정보를 빼내고서 원격 조정으로 공격했다고 밝혔다.

이들은 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치한 뒤 오후 4시50분10초 인터넷 원격제어로 실행해 총 587대의 서버 중 273대를 초토화시켰다. 오후 5시20분쯤에는 노트북에 남아있던 명령 프로그램 등 관련 증거를 삭제해 추적을 피했다는 것이다.

검찰은 이번 사태가 지난 두 차례 디도스 사건과 유사하다고 지적했다. 우선 좀비PC 조종에 이용한 IP(인터넷 프로토콜) 1개는 3·4 디도스 사건 때의 것과 일치한 것으로 조사됐다.

알파벳 A로 시작하는 45자의 암호키 등 악성코드의 암호화 방식이 3·4 디도스 때와 거의 일치했다. 또 삭제 대상 파일 30여 개의 파일 확장자(doc, zip 등) 종류 및 순서가 3·4 디도스와 100% 일치하고 7·7 디도스와도 93% 같았다. 웹하드 사이트의 업데이트 프로그램을 가장한 악성코드의 유포 방식도 같다.

◆北의 테러 능력은= 북한의 해킹 부대·기관 등 사이버 공격 조직은 검찰이 농협 사태의 배후로 지목한 인민무력부 정찰총국 산하에 있다. 북한은 1000명에 육박하는 사이버전사를 확보한 것으로 파악된다.

또 북한 전역은 물론 중국에도 헤이룽장성·산둥성·푸젠성, 베이징 인접 지역 등에 대남 사이버전 수행 거점인 ‘해킹 기지’를 마련해 놓고 있으며 랴오닝성 단둥시에 있는 해킹 기지는 대남 첩보와 정보 수집의 거점으로 파악되고 있다.

북한은 정찰국 121소(부)를 1998년부터 해킹과 사이버전 전담부대인 ‘기술정찰조’로 확대 개편했다. 주로 평양의 지휘자동화대학과 김책공대, 평양 컴퓨터기술대학 졸업생 출신인 부대원들은 2001년부터 중국 등 해외에서 사이버전을 수행 중인 것으로 알려졌다.

◆남는 의문점= 보안업계 전문가들은 비판적인 반응이다. 국내외 해커가 신분 위장을 위해 북측 IP를 도용하는 것이 얼마든지 가능해 북한 소행을 단정 짓기 어렵다는 것이다. 게다가 두 차례 디도스 공격의 주체가 북한으로 확정되지 못한 상태에서 다시 북한을 지목하는 것은 오류라는 지적도 있다.

한 보안 전문가는 “북한 소행으로 추정된다는 검찰 발표는 결국 범인을 찾지 못했다는 뜻이 아니냐”고, 다른 전문가는 “일반 네티즌도 아니고 농협 서버관리 협력업체인 한국IBM 직원의 노트북이 7개월간 좀비 PC가 된 사실을 몰랐다는 게 이해하기 어렵다”고 말했다.

네티즌들은 “왜 북한은 지난번 써먹은 IP를 그대로 다시 썼을까” “북한이 우리의 생사 여탈권을 쥐고 있는 건가” “국내 금융기관을 믿을 수 있겠느냐” 등의 반응을 보였다.