수사당국 “최고난도 스크립트 해킹” 국내 금융기관 처음…檢 “외부 침입”

농협 전산망은 외주 직원의 USB를 통해 노트북에 심어진 프로그램(바이러스)에 의해 파괴됐고, 이 프로그램은 ‘스크립트 해킹’ 방식으로 실행된 것으로 파악됐다. 여러 프로그램을 차례대로 실행하라는 명령어의 조합인 스크립트 기법이 금융기관 해킹에 사용된 것은 국내에서 처음이다.

20일 수사 당국에 따르면 농협 전산망 마비 사태는 외주 직원의 USB를 통해 노트북에 옮겨진 바이러스가 발단이었다. 전문 프로그래머는 바이러스에 감염된 노트북에 4~5개 정도의 프로그램을 설치했다. 수사 당국 관계자는 “노트북에 심어진 프로그램 용량은 상당히 적고, 파일 삭제 명령어도 A4용지 반 정도 될 것”이라며 “USB를 컴퓨터에 꽂아 뭔가를 저장할 때 거기 묻어 들어갔을 것”이라고 말했다. 이 관계자는 이어 “유동적인 농협 방화벽 전체 구조를 노트북이 농협 서버에 접속될 때마다 하나씩 알아냈다.”면서 “노트북의 외부 반출과 바이러스 감염은 상관이 없다.”고 덧붙였다.

이 프로그램은 일종의 ‘시한폭탄’ 해킹 수법인 스크립트 해킹 방식에 의해 가동됐다. 수사 당국 관계자는 “이번 해킹은 가장 복잡한 해킹 방법 중 하나”라고 말했다. 이번 사건을 수사 중인 서울중앙지검 첨단범죄수사2부는 다수의 전문 프로그래머가 해킹을 했을 것으로 보고, 해킹 공모자들을 추적하는 한편 해킹이 실행된 경로 분석에 주력하고 있다. 검찰 관계자는 “외부 침입 흔적이 보이는 만큼 농협 전산망을 외부에서 해킹했을 가능성이 있다.”면서 “프로그램을 하나하나 분석해 생성시기 등을 파악해야 하기 때문에 분석하는 데 2~3주 정도 걸릴 것”이라고 밝혔다.

●스크립트(Script) 일련의 프로그램을 차례대로 자동 실행하도록 모아 놓은 명령어의 조합. 일반 응용 프로그램과 해당 프로그램을 언제, 어떻게 실행 시킬지 등 각종 조건의 조합으로 구성된다. 자바스크립트(JavaScript) 언어 등이 대표적이다. ‘스크립트 해킹’은 이런 명령어 조합에 악성 코드를 심어 정보를 파괴하거나 빼내는 방법이다.

김승훈·강병철기자 hunnam@seoul.co.kr