농협 전산망 장애도 북한 때문일까
    2011년 05월 04일 09:52 오전

Print Friendly

서울중앙지검 첨단범죄수사2부(부장 김영대)는 3일 농협 사태 수사 결과를 발표하면서 "7ㆍ7, 3ㆍ4 디도스 공격을 한 집단과 동일한 집단이 장기간 치밀하게 준비해 실행한 것으로 북한 정찰총국이 관여된 초유의 사이버테러"라고 규정했다.

조중동 등 대부분의 일간지가 이를 비중있게 전했지만, 한국일보 등은 의문을 제기하고 있다. 다음은 4일자 전국단위 종합일간지 1면 머리기사다.

경향신문 <미, 중동정책 고수땐 테러공포 ‘끝’은 없다>
국민일보 <검 “북 정찰총국에 당했다”>
동아일보 <곪았던 금융검찰의 인과응보>
서울신문 <미 “알카에다 괴멸” 테러전 2막>
세계일보 <북 사이버테러에 ‘무책’ IT 최강 코리아 ‘무색’>
조선일보 <천안함 쏜 북 정찰총국이 농협도 공격했다>
중앙일보 <‘빈 라데 헌터’ 페네타>
한겨레 <북 ‘나선특구’ 중국에 활짝 열다>
한국일보 <확증제시 미흡 물음표 남는다>

검찰은 농협 서버에 삭제명령을 내린 한국IBM 직원 한모씨의 노트북이 지난해 9월 북한이 유포한 악성프로그램에 감염돼 좀비PC가 된 후 북한 해커의 원격조종을 받았다고 밝혔다. 검찰에 따르면 북한 해커들은 한씨의 노트북에 백도어(backdoorㆍ불법 침입을 위한 뒷문이라는 의미) 프로그램을 비롯한 해킹 프로그램을 설치해 농협 전산망 비밀번호 등 각종 정보를 확보했다.

이들은 지난달 12일 원격으로 한씨 노트북에 농협 서버 공격파일을 심었고 공격 실행명령도 함께 내려 서버를 파괴했다고 검찰은 설명했다. 검찰은 "북한이 도청 프로그램까지 심어놓은 것이 확인돼 공격 당시 한씨 노트북을 통해 대화 내용까지 실시간 파악했을 것으로 추정된다"고 말했다.

검찰은 한씨 노트북에서 발견된 악성코드가 7ㆍ7, 3ㆍ4 디도스 공격 때와 유사한 방식으로 설치된데다, 노트북 조종에 사용된 IP 중 1개는 과거 북한 정찰총국이 사용한 것으로 3ㆍ4 디도스 공격 때 사용된 것과 일치하기 때문에 북한 소행이 확실하다는 입장이다. 검찰 관계자는 "프로그래밍 기법은 사람으로 보면 필적과 같은 것으로 이는 단순한 정황 증거가 아니다"라고 강조했다.

   
  ▲조선일보 5월 4일자 2면.

검찰은 또 농협이 비밀번호를 전산망 유지보수업체와 공유하고 노트북이 외부로 무단 반출되는 등 보안관리가 허술했던 점도 이번 사태를 유발한 원인으로 꼽았다.

조선일보는 1면 머리기사 <천안함 쏜 북 정찰총국이 농협도 공격했다>에 이어 2면 <북 해커들, 작년 9월 전 덫 만들어…허술한 농협이 딱 걸렸다>, <남한에 ‘좀비PC’ 200개 더…다음엔 원전. 공항?> 등의 기사를 크게 실었다.

중앙일보도 지난달 26일자 1면 머리기사를 오늘 1면에 다시 내세우며 <천안함 공격한 북 정찰총국이 농협 테러했다> 기사를 실었다. 동아일보, 세계일보 등도 1면에서 이를 비중있게 보도했다.

그러나 한국일보 1면 머리기사 <확증제시 미흡 물음표 남는다>를 주목할 필요가 있다. 한국일보는 이 기사에서 “검찰이 3일 농협 전산망 장애 사태를 북한 소행이라고 발표했지만 범행 주체를 특정하기에는 수사 결과가 미흡하다는 지적과 함께 사건의 실체를 놓고 논란이 일고 있다”고 보도했다.

검찰은 북한을 범행 주체로 지목한 이유를 농협 사태가 지난 3월 발생한 ‘3ㆍ4 디도스(DDosㆍ분산서비스거부) 공격’ 때 북한 체신성이 임대한 중국 IP(인터넷 주소)에서 공격이 이뤄진 점, 3ㆍ4 공격 및 2009년 발생한 ‘7ㆍ7 디도스 대란’과 공격 방식이 비슷하다는 점 등을 들었으나 확증을 찾지 못한 상태에서 이같이 결론짓는 것은 무리라는 비판이 제기되고 있다는 것이다.

전문가들은 해킹 주소는 IP 세탁을 통해 감출 수 있다며 검찰 발표에 의문을 표하는 등 농협 사태는 영구미제가 될지도 모른다는 우려가 나오고 있다.

한국일보는 3면 해설기사 <“진짜 IP 남기며 해킹하는 해커가 어디 있다” 전문가들 갸웃>에서 “오히려 일부 보안전문가들은 농협 내부자 소행일 가능성에 더 무게를 싣고 있다”며 “보안 전문가들은 이구동성으로 검찰 수사와 달리 인터넷주소 추적만으로 해커의 정체를 파악하기 힘들다고 주장했다”고 전했다.

해커 출신 국내 보안업체 사장은 “IP는 신분증 같은 것”이라며 “도둑질을 하기 위해 신분증을 맡기고 정문을 통과해야 한다면 진짜 신분증을 맡기겠느냐. 프록시 기법을 이용해 해킹을 하고 여러 기기나 사이트를 수차례 경유한 뒤 접속기록에 남아있는 IP 자체를 조작하면 진범의 IP를 찾기 힘들다”고 말했다.

   
  ▲ 한국일보 5월 4일자 3면. 

보안전문가들은 또 북한 해커부대의 실력을 의심하고 있다. 한번도 그들의 소행으로 입증된 사례가 없기 때문이다. 지난해 7.7 디도스 대란이나 올해 3.4 디도스 사태도 우리 정부는 북한 소행으로 추정했으나 정작 북한은 침묵을 지켰다.

한국일보는 “보안전문가들이 내부자 소행일 수 있다고 보는 이유는 공격 방식 때문”이라고 지적했다. 농협이 사용한 유닉스 서버에서 모든 파일과 디렉토리 등 데이터를 삭제하는 rm 명령을 날릴 수 있는 권한은 최종관리자만 갖고 있기 때문이다.

이런 이유로 다른 보안업계 관계자의 말을 귀 기울여 들을 필요가 있다. 그는 “범인을 잡기 힘든 상황에서 북한을 범인으로 지목하면 자백하지 않는 이상 누구도 사실 여부를 확인하기 힘들다. 이런 점 때문에 북한이 지목됐을 가능성이 높다”고 말했다.

필자소개
레디앙
레디앙 편집국입니다. 기사제보 및 문의사항은 webmaster@redian.org 로 보내주십시오

페이스북 댓글