檢, '농협 해킹' 7·7, 3·3디도스 공격과 동일 진단

"北의 사이버 테러"

검찰은 3일 농협의 전산마비 사태가 북한의 사이버테러라고 밝혔다.

농협 전산장애를 수사한 서울중앙지검 첨단범죄수사2부는 이날 “7.7디도스 및 3.4 디도스 공격을 한 동일 집단이 장기간 치밀하게 준비해 실행한 초유의 사이버테러”라고 수사 결과를 발표했다. 또한 공격명령 발원지는 유지보수업체 직원의 노트북으로 드러났다.

검찰은 이번 농협 전산마비를 일으켰던 서버 공격명령 파일이 이미 지난해 9월 서버를 관리하는 노트북이 악성코드에 감염돼 좀비 PC가 돼 있었다고 설명했다. 악성코드는 S웹하드 사이트에 업데이트 프로그램으로 위장돼 노트북을 감염시켰고 좀비 PC를 해외에서 마련된 공격명령서버(C&C 서버)에서 조정한 것으로 나타났다.

검찰이 전산망 마비 사태의 주범으로 북한을 지목한 이유는 사용된 삭제 명령 프로그램이 2차례의 디도스 공격때 발견된 악성 프로그램과 구조와 작동원리 명에서 유사했기 때문이다.

프로그램 분석을 곤란하게 하기 위해 특정 부분을 일정한 규칙에 따라 다른 문자로 바꿨는데 이런 방식이 아주 유사하다는 것이다.

또 악성 프로그램의 유포 경로와 방식, 좀비 PC에 설치하는 방법도 동일하다고 설명했다.

농협은 지난달 12일 악성코드에 감염된 좀비 PC에서 내려진 삭제명령으로 587개의 서버 가운데 273개의 서버의 파일이 삭제됐다. 이로 인해 카드 거래 기록의 일부가 영구 유실되는 등 막대한 피해를 입었다. 현재 모든 서비스를 재게한 상태지만 19일 이상 전산망이 장애를 겪으면서 피해는 눈덩이처럼 커졌다. 고객 피해 보상도 여전히 완료하지 못한 상황이다.