농협 해킹사건, 내부 공모자 없는 북한의 완전범죄?
기술적 가능성 거의 없어… 농협의 형사책임은 면책
(민중의소리 / 현석훈 / 2011-05-09)
서울중앙지검 첨단범죄수사2부(부장 김영대)는 지난달 12일 발생한 농협 금융전산망 마비 사태에 대해 “북한이 7개월여에 걸쳐 치밀하게 범행을 준비하고 실행한 새로운 차원의 ‘사이버 공격’”이라고 밝혔다.
검찰은 국가정보원 등 유관기관과 공조수사를 벌인 결과 북한 군부에서 대남테러와 해외공작을 전담하는 ‘정찰총국’이 원격조종으로 농협 전산망을 파괴한 것으로 최종 결론을 내렸다고 3일 밝혔다.
검찰의 이 같은 발표에 보안업계는 의문을 제기하고 있다. 북한의 소행으로 단정 짓기에는 여러 가지 의문점이 있기 때문이다. 업계에서는 이를 농협 내부 소행일 가능성에 더 무게를 두고 있다. 업계가 의문을 제기하는 이유는 검찰의 발표가 도저히 받아들일 수 없는 수준, ‘상식 이하’의 발표였기 때문이다.
|
▲ 검찰이 3일 농협 전산망을 북한이 해킹했다고 밝혀 조롱의 대상이 되고 있다. 한 네티즌이 올린 ‘1번 IP’ ⓒ민중의소리 |
◇ 전산망 분리된 농협 서버, 외부 침투 불가능 = 검찰은 수사 결과를 발표하면서 “농협의 전산망이 내외부가 분리가 안 돼 인터넷으로 삭제 명령이 떨어졌다”고 밝혔다. 하지만, 농협 IT관계자는 “내·외부망은 물리적으로 분리돼 있다”며 “검찰이 사실 관계에 대해 이해를 잘못한 것 같다”고 말해 검찰이 ‘짜맞추기식 수사를 벌인 것이 아니냐’는 의문이 제기됐다.
농협 전산망을 비롯해 금융권의 내부망과 외부망이 물리적으로 분리된 것은 하나의 상식이다. 즉 외부에서 농협 내부전산망에 접속할 수 없다. 농협의 한 관계자는 “내부망과 외부망은 분리되어 있는 것이 맞다. 전용랜선에 전용 IP를 사용하지 않으면 (서버를) 구경조차 못한다”며 이 같은 사실을 뒷받침했다.
농협뿐만 아니라 대부분 시중은행 역시 내부망과 외부망을 혼용해 사용하지 않는다. 이는 굳이 데이터베이스가 인터넷과 연동되어야 할 필요성이 없을뿐더러, 해킹 위험을 완전히 차단시킬 필요가 있기 때문이다.
A 은행 전산 담당자는 검찰의 발표에 대해 “내부자의 소행이 아니면 불가능한 일”이라며 “농협 전산망은 분리되어 있고, 아마 검찰이 망중계에 대한 것을 잘못 이해하고 말한 것 같다”고 말했다.
즉, 삭제명령을 내린 것으로 추정되는 노트북이 내부 전산망을 쓰고 있었다면 외부에서 삭제 명령을 내리는 일은 물리적으로 불가능하다는 것이다.
◇ 노트북을 7개월 이상 관리했다? = 검찰은 2010년 9월 삭제명령이 내려진 것으로 추정되는 노트북이 좀비 PC가 되었으며, 범인들은 7개월 이상 노트북을 집중 관리하면서 필요한 정보를 획득한 뒤 원격 조종으로 공격했다고 발표했다.
보안업계는 검찰의 발표에 ‘외부망과 단절된 노트북을 어떻게 원격조종 할 수 있는가’에 의혹을 제기하고 있다. 한 보안업계 관계자는 “설령 노트북이 좀비 PC가 되었다고 해도 이를 7개월 이상 추적하면서 관리한다는 것은 불가능에 가깝다”고 설명했다. 이 관계자는 이를 기술적인 문제가 아니라 ‘상식의 문제’라고 설명했다.
◇ 검찰, DDOS와 해킹 구별 못 하나 = 검찰은 노트북에 숨어 있던 악성코드 81개 암호화 방식이 지난 2009년 7월7일과 올해 3월4일 DDOS(분산서비스거부) 공격과 비슷하고, 컴퓨터 조종에 이용된 IP 1개가 3월4일 디도스 공격 때와 완전히 일치한다는 사실을 들어 ‘북의 소행’으로 최종 결론을 냈다.
검찰은 또 악성코드를 운영하기 위한 백도어 기능과 좀비에 명령을 내리는 서버목록이 1개의 프로그램이 아니라 별도 파일로 제작된 점 등이 디도스 사건과 매우 유사하다는 이유를 정황 증거로 제시했다.
하지만, 이 같은 검찰의 설명은 석연치 않은 점이 너무 많다. 우선 디도스와 해킹은 성격이 다르다는 것이다. 북한이 한 것으로 추정되는 디도스 기술을 근거로 해킹도 북한이 했다는 주장은 앞뒤가 맞지 않다는 지적이다.
익명을 요구한 보안업체의 관계자는 “검찰 발표는 DDOS와 해킹을 구별하지 못한다는 것인데, 이렇게 서둘러 북한의 소행이라고 발표하는 의도가 궁금하다”고 말했다.
이 관계자는 “DDOS와 좀비 PC는 이미 알려진 기술이기 때문에 IDC 센터에 근무하는 전산인력은 이런 패턴을 훤히 꿰고 있다”면서 “설령 해커가 농협 서버에 침입했다 하더라도 관리자가 아닌 이상 서버 273대를 동시에 파괴하는 일은 불가능하다. 만약 가능하다면 노트북이 아닌 사람이 ‘해킹’됐을 것”이라고 말했다.
이 관계자는 또 “IP는 손쉽게 세탁이 가능하다”면서 “해커가 노출된 IP를 두 번 사용했다는 말인데 상식적으로 그런 일은 거의 없다”고 설명했다. 또 “IP만으로 그 IP를 운용한 해커를 지목한다는 것도 이해가 가지 않는다”고 의문을 제기했다.
◇ 북 소행 주장, 혹시 보상 때문에? = 검찰은 내부 공모자는 없었던 것으로 보고 농협이나 한국IBM 직원은 별도로 형사 처벌하지 않기로 했다. 농협 측은 검찰이 ‘북의 소행’으로 결론 내림에 따라 일단 책임을 북으로 미룰 수 있게 됐다.
농협은 지난 2일 현재 1385건의 피해보상 민원이 접수됐고, 1361건에 대한 피해 보상을 끝냈다고 밝혔다. 지금까지 2000만 원 정도를 보상한 것으로 알려졌다. 농협 측은 연체이자 수수료, 세금 지연 납부에 따른 가산세 등에 대해 보상했다고 설명했다.
하지만, 일부 피해자들이 보상액에 대한 이견을 보이면서 집단소송을 준비하고 있다. 하지만, 이들이 소송에서 승소할지 여부는 미지수다. 지난 2008년 해킹사건으로 13만 명이 손해배상청구 소송을 제기한 옥션 사건에서 법원은 “옥션이 해킹을 막지 못한 아쉬움이 있지만, 위법 행위가 없어 책임을 물을 수 없다”며 옥션의 손을 들어줬다. 이번 농협 해킹 사건도 검찰이 ‘북의 소행’으로 결론 내리면서 농협은 책임을 피해갈 수 있게 됐다. 검찰은 이번 사건을 ‘북한의 소행’으로 규정하면서 ‘농협 내부자에 대한 처벌은 없을 것’이라고 밝혔다.
출처 : http://www.vop.co.kr/A00000390106.html