검찰은 지난 5월3일 농협 전산망 마비사태가 북한의 ‘사이버 테러’에 의한 것으로 추정된다고 밝혔다. 같은 날 국가정보원은 북한 정찰총국의 관여를 표명했다. 이들 기관이 북한 소행이라고 보는 원인은 크게 4가지이다. 첫째, 해킹에 사용된 프로그램이 단순히 시스템 파괴에 목적을 둔 삭제 명령어(rm과 dd)로만 구성되었다. 둘째, 해킹 프로그램의 제작기법 및 유포경로가 2009년의 7.7 디도스(DDoS·분산서비스거부) 및 지난 3.4 디도스 공격 때와 유사하다. 셋째, 해킹 명령을 위해 이용한 것으로 추정되는 27개의 인터넷 IP주소 중 1개가 3.4 디도스 사건에 이용된 것과 일치한다. 끝으로 해킹의 발원지가 된 IBM 직원의 노트북의 ‘맥 주소’(MAC Address·랜카드 고유번호)가 과거 북한발 미공개 해킹 사건 수사 때 파악된 북한이 관리하는 좀비PC의 맥 주소중 하나이다.
 물론 이에 대한 비판이 만만치 않다. 너무 잦다 싶을 정도로 북한 카드를 꺼낸다는 것이다. 상당수 보안 전문가들은 첫째, 과거 두 차례 디도스 공격의 주체를 북한으로 확정짓지 못한 상태에서 이를 근거로 또다시 북한을 지목한 것은 결국 추정을 전제로 끌어낸 또 다른 추정을 사실로 확정하는 오류를 저지르는 것이며, 둘째, 해킹 프로그램은 해외 사이트에서 쉽게 내려 받을 수 있고 해커들도 이를 공유하기에 제작기법은 얼마든지 유사할 수 있고, 또한 약간의 해킹 지식만 있다면 IP주소를 위조할 수 있다는 점 등을 들어 검찰의 발표에 대해 섣불리 단정하기 어렵다는 반응을 보인다. 
 이번 농협 전산망 마비 사태가 워낙 사상 초유의 사건이고, 관련 전문가들이 모여 3주에 걸친 조사 끝에 내린 결론이니 검찰의 발표는 존중되어야 하는게 마땅하다. 그러나 이 결론에 도달하기까지 그 과정에서 좀 더 신중했으면하는 아쉬움이 남는다. 해외 비영리 보안 연구단체인 허니넷 프로젝트(Honeynet Project)의 포렌식 챌린지 연구결과에 따르면 해킹에 30분 정도 소요될 때 이에 대한 증거를 수집하고 원인을 밝히는데 수사관 1명당 34시간 정도가 소요된다. 더욱이 이번 농협의 경우와 같이 신속한 복구가 필요한 경우에는 증거수집 및 분석에 더욱 많은 시간이 필요하다. 이는 증거수집(Forensic)이 범죄현장을 보존하자는 것인데 반해 복구(Recovery)는 사고이전의 상태로 되돌리자는 것이므로 이둘은 서로 반비례하기 때문이다.

 검찰은 이번 농협 전산망 해킹이 7개월 이상에 걸쳐 치밀하게 준비됐다고 발표했다. 이렇게 장기간 계획된 범행을 단 3주간의 조사·분석만으로 결론짓는 것은 다소 성급하지 않나 싶다. 지난해 11월 이란의 나탄즈 핵시설을 공격해 원심분리기 가운데 20%의 가동을 중단시켰던 해킹 프로그램 스턱스넷(Stuxnet)의 경우, 세계 최고 수준이라는 시만텍의 보안대응팀 연구원들이 3개월간 정밀 분석한 후 A4용지 50쪽에 달하는 보고서를 공개하고, 지금도 지속적으로 업데이트한다. 그러나 우리의 경우 2009년의 7.7 디도스 및 지난 3.4디도스, 그리고 이번 농협 전산망 해킹에서도 검찰과 경찰은 또 다른 해킹사고로 악용될 수 있다며 상세 분석보고서 공개를 꺼린다. 이러한 비공개로 인해 수사 결과에 대한 불신과 의혹만을 지속적으로 낳고 있다.
 
 더욱이 북한의 계획된 사이버 테러였다는 이유로 농협에 면죄부를 줘서는 안 된다. 검찰은 해킹의 발원지인 IBM직원의 노트북에서 81개의 악성코드가 발견되었고, 이를 이용해 쉽게 농협 전산망을 해킹했다고 밝히고 있다. 또한 관리자의 비밀번호는 무려 4년 동안이나 동일했다고 한다. 만일 농협과 IBM이 자신의 PC를 철저히 관리했더라면 이번 사건은 충분히 막을 수 있는 인재(人災)였다는 것은 명백하다. 앞으로 제2, 제3의 농협 전산망 마비가 없으려면, 많은 고객정보와 큰 자산을 다루는 금융권들은 보안에 각별한 주의와 노력을 기울여야 할 것이다. 수사기관들 또한 농협 사태의 철저한 원인규명 및 투명한 정보 공개를 통해 권위와 신뢰를 인정받아 불필요한 혼란을 막도록 노력해야 한다.

김승주(본교 교수·정보보호대학원)

저작권자 © 고대신문 무단전재 및 재배포 금지