검찰 “삭제명령 노트북서 중국발 IP 여러개 포착”

농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 서버운영 시스템 삭제명령이 실행된 한국IBM 직원의 노트북에서 출처가 의심스러운 중국발 IP(인터넷 프로토콜)가 포착돼 경로를 역추적하고 있다고 26일 밝혔다.

검찰은 사태가 발생한 지난 12일 이전 수개월간, 이 노트북과 농협 서버들에 접속 흔적을 남긴 수백개의 국내외 IP 가운데 일부가 중국에서 접속된 사실을 확인하고 이번 사태와의 연관성 여부를 조사하고 있다.

검찰은 특히 이들 IP가 북한에서 해킹 등 사이버 테러용으로 주로 쓰였을 가능성을 염두에 두고 국정원 사이버테러대응센터와 공조 수사를 진행 중인 것으로 알려졌다.

이와 관련, 검찰은 지난 2009년 발생한 ‘7.7디도스(분산서비스거부) 대란’ 당시 공격에 사용된 IP가 이번 중국발 IP와 경로 등에서 유사점이 있는지를 면밀히 분석하고 있다.

7.7 디도스 공격은 2009년 7월 7~9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35개 사이트를 해킹한 사건으로 공격 근거지가 중국에 있는 북한 체신성으로 밝혀진 바 있다.

검찰 관계자는 “현재는 모든 가능성을 열어 두고 사건 관련 여부를 하나하나 확인하는 단계”라며 “북한도 그 가능성 중의 하나지만 아직 명확하게 밝혀진 것은 없다”고 말했다.

검찰은 이번 사태로 피해를 본 서버 등을 분석한 결과 ‘외부 침입 흔적’이 곳곳에서 발견됨에 따라 단순 내부자 소행보다는 내부자의 협조 아래 특정 목적을 갖고 진행된 조직적 사이버 테러일 가능성이 큰 것으로 보고 있다.

또 노트북이 농협IT본부(전산센터) 외부로 여러 차례 반출됐고, 내ㆍ외부에서 유선랜(LAN) 등을 통해 수시로 인터넷에 접속된 점으로 미뤄 좀비PC 또는 원격조종을 통해 외부에서 삭제명령 파일이 심어졌을 개연성에 검찰은 무게를 두고 있다.

검찰은 삭제명령 파일에 대한 분석 작업이 막바지 단계에 이르러 1~2주 내 이번 사태의 원인과 행위 주체 등을 비롯한 사건의 윤곽이 드러날 것으로 예상된다고 밝혔다.

검찰은 이날도 전산센터 및 한국IBM 직원들을 불러 사건 발생 당시 서버 관리 상황과 행적 등을 조사했다. 검찰이 현재까지 소환조사한 직원은 30~40명에 달하는 것으로 알려졌다.

연합뉴스