[추적] 농협 전산망 파괴에 대한 검찰 수사 발표 소동 : 월간조선

검찰이 “농협 전산망 파괴가 북한 소행”이라며 밝힌 주요 증거자료 중 일부가 검찰의 어설픈 파일 관리로 인터넷에 유포된 사실이 뒤늦게 확인됐다. 노출된 자료는 범인이 사용한 암호화 방식, 삭제 프로그래밍 기법, 분석 방해 수법 등 2009년 발생한 7·7 디도스(DDoS·분산서비스거부) 및 2011년 3·4 디도스와 농협 해킹 사건이 동일범(북한)의 소행임을 입증하는 핵심 증거자료 중 일부다.

서울중앙지방검찰청 첨단범죄수사제2부(부장검사 김영대·金榮大)는 지난 5월 3일 서울중앙지검 브리핑실에서 농협 전산망 장애사건에 대한 수사 결과를 발표했다. 검찰은 농협 서버에 연결된 노트북이 외부로부터 해킹된 정황이 포착돼 4월 19일부터 국가정보원, 한국인터넷진흥원(KISA), 안철수연구소 등 관련기관과 협조해 수사했다고 밝혔다.

검찰 발표에 따르면, 공격명령의 발원지인 유지보수업체(한국IBM) 직원의 노트북이 2010년 9월 4일경 악성코드에 감염돼 ‘좀비 PC’가 됐고, 범인들은 7개월 이상 노트북을 집중 관리하며 필요한 정보를 획득한 후 원격 조종으로 공격 명령을 내린 ‘치밀하게 준비된 새로운 형태의 사이버 테러’였다.

검찰은 범인이 노트북에서 키로깅(사용자가 키보드로 입력한 내용을 빼돌리는 기술)으로 취득한 정보만 A4용지 1073페이지 분량이며, 범행에 사용된 악성코드의 종류, 설계 및 유포 기술, 범행 준비 방법 등 정황을 볼 때 상당한 규모의 인적·물적 지원이 없인 불가능한 범죄라고 분석했다.

검찰이 밝힌 가장 주요한 증거는 “7·7 디도스, 3·4 디도스 사건과 상당히 유사한 프로그래밍 기법”이었다. 검찰은 ▲악성코드가 발각되지 않도록 암호화하는 방식 ▲삭제프로그램에서 호출하는 30여 개의 파일 확장자 ▲프로그램 분석을 곤란하게 만드는 방해 방식 등이 북한의 기존 방식과 상당히 일치했다고 했다. 김영대 부장검사는 “범행수법은 필체(筆體)와 같은 것”이라며 “기존 디도스 사건 때 수법과 거의 유사하다”고 밝혔다.

검찰은 이날 보도자료 배포와 함께 파워포인트 참고자료를 만들어 프레젠테이션을 했다. 공격 시나리오, 81개 악성코드 종류, 사건전개과정 등을 쉽게 설명하기 위해 도표로 만든 자료다. 내용 중 ‘키로깅’ 설명 부분, 암호화 방식, 암호키, 삭제 대상 파일 확장자 비교, 분석 방해 수법 등 보안 또는 개인정보와 관련한 부분은 마스킹(모자이크) 처리했다.

▣ 농협 전산망 마비 사건

2011년 4월 12일 오후 4시50분경 농협 전산망 서버 587대 중 273대(대부분 중계 서버)에 삭제 명령이 내려져 20여 시간 가까이 모든 금융거래가 중지된 해킹 사건. 검찰과 국정원 등의 수사 결과, 서버 유지보수업체인 한국IBM사(社) 직원의 노트북을 통해 침입한 악성코드를 통해 공격 실행된 북한발(發) 사이버 테러로 확인됐다.

블로그와 SNS 통해 北 해킹 수법 빠르게 전파

문제는 당시 프레젠테이션에 사용된 파일이 브리핑 후 바로 그 검찰에 의해 외부로 ‘유출’(流出)됐다는 사실이다. 담당자의 실수로 원본이 검찰 웹사이트에 업로드된 것으로 보인다. 그 후 ‘NH.pptx’란 이름의 이 파워포인트 파일은 IT(정보기술)업계 관계자들을 중심으로 인터넷을 통해 전파됐다. 인쇄물이나 화면으로 보면 주요 내용이 마스킹 처리돼 큰 문제가 없지만, 파일을 컴퓨터에서 열면 누구나 쉽게 가려진 부분을 지우고 관련 내용을 직접 확인할 수 있다.

해당 파일 원문에서 확인할 수 있는 내용은 ▲범인이 취득한 IP와 패스워드 ▲45자로 구성된 암호키와 암호화 방식 ▲삭제할 파일을 지정하는 코드 ▲프로그램 분석 방해 기법 등이다. 검찰이 밝힌 북한 소행 증거 중 ‘공격에 사용된 81개 악성코드를 만든 독특한 제작기법’에 대한 일부 정보도 노출됐다.

파워포인트 내용을 확인한 다수의 보안전문가는 “검찰이 북한 해킹 기법이라고 밝힌 증거자료가 자세히 공개된 이상 국내외 해커들이 해당 코드를 일부러 포함해 악성코드를 만들 가능성이 크다”며 “그 경우 앞으로 유사 범죄가 저질러져도 북한 소행이라고 할 수도, 안 할 수도 없는 상황”이라고 지적했다.

한 보안전문가는 “농협 해킹에 사용된 공격 수법이 고도화된 기법은 아니며, 노출된 코드도 높은 수준의 기술을 요할 정도로 어려운 내용은 아니다”라면서도 “하지만 정치·사회적 목적으로 해킹을 하는 핵티비스트(Hacktivist)들이 이를 다른 사회공학적(Social Engineering) 기법과 섞어 기만할 경우 ‘남남(南南) 갈등’과 같은 엄청난 혼란을 줄 수 있다”고 말했다.

해당 파일은 3·4 디도스와 농협 해킹 암호화 수법을 그림 파일로 옮겨 실었고, 이번 사건에 연루된 한국IBM 직원의 실명, 직책, 이메일 주소와 채팅내용까지 모두 포함하고 있다. 일반 범죄든 사이버 범죄든 모방이 우려될 경우 범행수법을 상세히 공개하지 않는 것은 수사의 ABC다.

수사 관계자는 해당 파일이 유포된 경위에 대해 “수사 결과 발표 기자회견 당일 보도 편의를 위해 일부 기자에게 공개한 자료가 확대된 것”이라며 “(증거자료 유출) 문제가 있다고 판단해 즉시 회수(삭제 요청)했다”고 해명했다.

완벽한 복제가 가능한 컴퓨터 파일의 특성상 해당 파일은 국내외 해커들은 물론, 북한 해킹부대의 손에까지 넘어갔을 것으로 추정된다. 검찰 발표 직후 해당 파일은 국내외 블로그, 커뮤니티 게시판, 트위터, 페이스북 등 웹사이트와 SNS(소셜네트워크서비스)를 통해 빠르게 전파된 것으로 확인됐다.

검찰이 공개한 농협 해킹 사건 수사결과 자료. 암호키와 암호화 방식, 범인의 IP와 패스워드, 프로그램 분석 방해 기법 등 가려진 주요내용을 컴퓨터에선 쉽게 볼 수 있다.

‘저작권 침해’로 신고한 검찰

한 블로거는 지난 5월 3일 해당 파워포인트 파일을 올렸다가 얼마 후 PDF 파일로 교체했다. PDF 파일은 파워포인트 파일과 달리 마스킹된 내용이 쉽게 지워지지 않는다. 몇 시간 후 글 자체가 삭제됐고, 블로거는 “서울중앙지검이 저작권 침해로 인한 권리침해 신고를 했다”며 블로그 운영업체가 보낸 메시지를 공개했다.

검찰 스스로 공개한 수사 결과 자료가 ‘저작권 침해’로 신고 당했다는 사실에 블로거 수십 명이 ‘어이없다’는 내용의 댓글을 달았다. 또 검찰의 요청으로 삭제된 블로그 글도 ‘저장(Cache)된 웹페이지까지 보여주는’ 구글(Google) 검색 결과에 5월 15일 현재까지 노출돼 있다.

수사 관계자는 이에 대해 “검찰 수사 결과에도 저작권이 있다”며 “시스템 암호 및 농협 전산 담당자들의 실명과 이메일 주소가 실려 있는 내용이라 개인·기관 정보 보호를 위해 삭제 요청을 한 것”이라고 답했다.

한 보안전문가는 “첨단범죄 수사를 대표하는 부서에서 북한이 ‘치밀하게 준비한 사이버 테러’에 대한 수사 결과를 이런 식으로 공개한 사실만으로도 검찰의 보안의식 수준을 짐작할 수 있다”며 “검찰은 기어가고, 국정원은 뛰어가고, 북한은 날아가는 모양새”라고 지적했다.

검찰의 증거자료와 수사 결과 내용에도 논란이 제기됐다. 10년 이상 보안 전문업체에서 관련 연구·개발을 지휘해 온 A씨는 “이 바닥(보안업계)에선 대부분 검찰의 수사과정과 결과내용에 대해 믿지 않는 분위기”라며 “공개된 검찰 수사 결과만으론 IP 경유 등 북한 소행이 아닐 수도 있다는 경우의 수가 수없이 나온다”고 설명했다.

A씨는 또 “국정원, 안철수연구소, 한국인터넷진흥원 등 쟁쟁한 인력들이 동원된 수사가 예상보다 취약해 다른 경로로 입수한 비공개 정보나 확실한 증거가 있을 것으로 우리는 추정하고 있다”며 “이론상 북한 소행이 가능한데다 다른 가설도 증거가 뚜렷하지 않기 때문에, 한 사람의 국민으로서 우리 수사기관을 믿어주는 것뿐”이라고 했다.

해커 출신의 보안전문가 B씨는 “사실 여부를 떠나 검찰 수사 결과 자료만 봤을 때 설득력은 20% 정도”라며 “엄청난 용량의 로그 기록을 짧은 기간 동안 꼼꼼히 살펴봤는지 의문이고, 마치 다른 경로를 통해 결론을 미리 내놓은 후 수사를 진행한 느낌도 든다”고 했다.

北 “천안호와 같은 모략극” 주장

‘추론’ 수준의 수사 결과 발표에 일부 인터넷 매체가 엉뚱한 의혹을 제기하는 등 논란이 확산됐다. 한 매체는 검찰이 “농협의 전산망이 내·외부가 분리 안 돼 인터넷으로 삭제 명령이 떨어졌다”고 밝힌 것에 대해 “내·외부망은 물리적으로 분리돼 있는데, 검찰이 사실 관계를 잘못 이해한 것 같다”는 농협 IT관계자의 말을 인용해 보도했다. 해당 노트북이 내부서버와 인터넷망 모두 연결했다는 설명을 서버, 노트북, 인터넷이 ‘동시에’ 연결된 것으로 오해해 나온 오보였지만, 유명 포털 주요기사에 게재되면서 의혹을 키웠다. 현재 해당 기사는 삭제된 상태다.

북한은 검찰 수사 결과 발표에 대해 “천안호 사건과 같은 날조극”이라며 비난하기 시작했다. 지난 5월 10일 북한 국방위원회 인민무력부는 조선중앙통신을 통해 “원래 사이버전은 주로 자기를 노출하지 않고 상대를 공격하기 위해 미국이 고안해 낸 특수한 형태의 침략전쟁 방식”이라며 “농협 당사자들도 북의 소행이라는 발표가 섣부른 결론이라고 항변하고 ‘괴뢰군’ 기무사마저 북의 공격으로 밀어붙일 수 없다고 하며 전문가들도 의문을 던지고 있다”고 주장했다.

5월 15일엔 북한 국방위원회 검열단이 한국 검찰 수사 결과에 대해 ‘모략극’이라고 강조하는 진상공개장을 내놨다. 검열단 명의의 진상공개장이 나온 것은 천안함 폭침과 연평도 포격도발에 이어 세 번째다. 진상공개장은 “농협 금융컴퓨터망 마비사태는 천안호 사건의 재판”이라며 “천안호 사건과 연평도 포격전, 농협 사태를 비롯한 모략극을 연출해 우리와 연계시키는 것은 북남대결을 추구하는 것”이라고 비난했다.

다수의 매체가 전문가의 말을 인용해 북한이 천안함·연평도 때와 같이 농협 해킹 사건을 남남 갈등을 일으키기 위한 도구로 이용하고 있다고 분석했다. 한 정부 관계자는 “국내에서 (북한이 농협 해킹의 범인이란) 정부 발표를 의심하는 목소리가 불거지자 남남 갈등을 조장하기 위해 이런 담화를 냈을 것”이라고 분석했고, 국책연구기관의 전문가는 “북한은 이미 수차례 사이버테러로 그 능력을 충분히 과시한 만큼 이제부터 국내 일부 세력의 논리를 재활용해 남남갈등을 유도하자는 의도”라고 했다.

“범죄는 첨단, 수사는 아날로그”

다수의 정부 관계자에 따르면, 이번 농협 해킹 수사는 사실상 검찰이 아닌 국정원이 지휘해 ‘범인’을 밝혀냈다고 한다. 지난 4월 25일경 국정원 최고위급 인사가 대통령에게 직접 농협 수사 결과를 보고한 것으로 알려졌다. 다음 날 《중앙일보》는 정부 고위 관계자의 말을 인용해 “정부가 ‘디지털 족적(足跡)’을 역추적했다”며 북한 소행 가능성을 처음 보도했다.

정보기관은 첨단장비를 이용해 얻는 신호정보(SIGINT), 통신 도·감청을 통한 전자정보(ELINT), 사람을 통한 인적정보(HUMINT) 등으로 정보를 수집한다. 발표된 수사 결과만 보면 농협 해킹 수사는 신호정보로 이뤄졌지만, 한국 정보 당국이 전자정보와 인적정보 등을 이용해 범인이 북한임을 밝혔을 가능성도 배제할 수 없다.

보안전문가들 사이에선 “국정원이 ‘다른 루트’를 통해 이미 북한 소행임을 파악하고 있었지만, 정확한 정보 출처를 공개할 수 없어 ‘추론 수준’의 수사 결과를 급히 공개한 것”이란 미확인 소문이 돌고 있다. 최고 수준의 전문가들이 참여해 내놓은 수사 결과가 기대보다 부족했기 때문에 “뭔가 공개하기 곤란한 증거가 있을 것”이라는 그럴 듯한 얘기가 나오는 것이다.

검찰의 사이버 범죄 수사 시스템이 규모와 예산에서 국정원과 경찰의 역량보다 약하다는 것은 주지의 사실이다. 사이버 범죄의 특성상 사후(事後) 수사보다 실시간 모니터링 등 ‘공격 기법’을 통해 증거를 확보하는 것이 중요하지만, 검찰은 이를 제대로 실행할 환경을 가지지 못했다는 것도 보안업계에선 상식이 된 지 오래다. 범행 기법은 날로 지능화, 첨단화되는데, 검찰은 수십 년 전의 낡은 법과 아날로그식(式) 수사법을 그대로 유지하고 있는데다 그나마 전문인력도 확보하고 있지 못하니 ‘컴퓨터 범죄 수법’을 낱낱이 브리핑하는 어처구니 없는 일이 벌어진 것이다.⊙

상단주메뉴

추적

농협 전산망 파괴에 대한 검찰 수사 발표 소동

北의 독특한 해킹 수법 퍼뜨린 검찰

0건

사이트 이용안내

내가 본 뉴스 닫기