[추적] 농협 전산망 파괴에 대한 검찰 수사 발표 소동
北의 독특한 해킹 수법 퍼뜨린 검찰
김정우 월간조선 기자
⊙ 北 해킹 기법 포함된 파워포인트 파일 인터넷 통해 확산
⊙ 앞으로 동일 수법 재발 시 北 소행인지 국내 모방 범죄인지 알 수 없어
⊙ 수사 관계자 “보도 편의를 위해 기자들에게 준 파일이 유포됐으나, 즉시 ‘회수’했다”
지난 5월 3일 서울중앙지검 브리핑실에서 첨단범죄수사제2부 김영대 부장검사가 농협 전산망 마비 사건 수사결과를 발표하고 있다. 이날 발표 자료로 쓰인 파워포인트 파일이 유출돼 북한의 해킹방법이 그대로 노출됐다.
검찰이 “농협 전산망 파괴가 북한 소행”이라며 밝힌 주요 증거자료 중 일부가 검찰의 어설픈 파일 관리로 인터넷에 유포된 사실이 뒤늦게 확인됐다. 노출된 자료는 범인이 사용한 암호화 방식, 삭제 프로그래밍 기법, 분석 방해 수법 등 2009년 발생한 7·7 디도스(DDoS·분산서비스거부) 및 2011년 3·4 디도스와 농협 해킹 사건이 동일범(북한)의 소행임을 입증하는 핵심 증거자료 중 일부다.
서울중앙지방검찰청 첨단범죄수사제2부(부장검사 김영대·金榮大)는 지난 5월 3일 서울중앙지검 브리핑실에서 농협 전산망 장애사건에 대한 수사 결과를 발표했다. 검찰은 농협 서버에 연결된 노트북이 외부로부터 해킹된 정황이 포착돼 4월 19일부터 국가정보원, 한국인터넷진흥원(KISA), 안철수연구소 등 관련기관과 협조해 수사했다고 밝혔다.
검찰 발표에 따르면, 공격명령의 발원지인 유지보수업체(한국IBM) 직원의 노트북이 2010년 9월 4일경 악성코드에 감염돼 ‘좀비 PC’가 됐고, 범인들은 7개월 이상 노트북을 집중 관리하며 필요한 정보를 획득한 후 원격 조종으로 공격 명령을 내린 ‘치밀하게 준비된 새로운 형태의 사이버 테러’였다.
검찰은 범인이 노트북에서 키로깅(사용자가 키보드로 입력한 내용을 빼돌리는 기술)으로 취득한 정보만 A4용지 1073페이지 분량이며, 범행에 사용된 악성코드의 종류, 설계 및 유포 기술, 범행 준비 방법 등 정황을 볼 때 상당한 규모의 인적·물적 지원이 없인 불가능한 범죄라고 분석했다.
검찰이 밝힌 가장 주요한 증거는 “7·7 디도스, 3·4 디도스 사건과 상당히 유사한 프로그래밍 기법”이었다. 검찰은 ▲악성코드가 발각되지 않도록 암호화하는 방식 ▲삭제프로그램에서 호출하는 30여 개의 파일 확장자 ▲프로그램 분석을 곤란하게 만드는 방해 방식 등이 북한의 기존 방식과 상당히 일치했다고 했다. 김영대 부장검사는 “범행수법은 필체(筆體)와 같은 것”이라며 “기존 디도스 사건 때 수법과 거의 유사하다”고 밝혔다.
검찰은 이날 보도자료 배포와 함께 파워포인트 참고자료를 만들어 프레젠테이션을 했다. 공격 시나리오, 81개 악성코드 종류, 사건전개과정 등을 쉽게 설명하기 위해 도표로 만든 자료다. 내용 중 ‘키로깅’ 설명 부분, 암호화 방식, 암호키, 삭제 대상 파일 확장자 비교, 분석 방해 수법 등 보안 또는 개인정보와 관련한 부분은 마스킹(모자이크) 처리했다.
▣ 농협 전산망 마비 사건
2011년 4월 12일 오후 4시50분경 농협 전산망 서버 587대 중 273대(대부분 중계 서버)에 삭제 명령이 내려져 20여 시간 가까이 모든 금융거래가 중지된 해킹 사건. 검찰과 국정원 등의 수사 결과, 서버 유지보수업체인 한국IBM사(社) 직원의 노트북을 통해 침입한 악성코드를 통해 공격 실행된 북한발(發) 사이버 테러로 확인됐다. |
블로그와 SNS 통해 北 해킹 수법 빠르게 전파
문제는 당시 프레젠테이션에 사용된 파일이 브리핑 후 바로 그 검찰에 의해 외부로 ‘유출’(流出)됐다는 사실이다. 담당자의 실수로 원본이 검찰 웹사이트에 업로드된 것으로 보인다. 그 후 ‘NH.pptx’란 이름의 이 파워포인트 파일은 IT(정보기술)업계 관계자들을 중심으로 인터넷을 통해 전파됐다. 인쇄물이나 화면으로 보면 주요 내용이 마스킹 처리돼 큰 문제가 없지만, 파일을 컴퓨터에서 열면 누구나 쉽게 가려진 부분을 지우고 관련 내용을 직접 확인할 수 있다.
해당 파일 원문에서 확인할 수 있는 내용은 ▲범인이 취득한 IP와 패스워드 ▲45자로 구성된 암호키와 암호화 방식 ▲삭제할 파일을 지정하는 코드 ▲프로그램 분석 방해 기법 등이다. 검찰이 밝힌 북한 소행 증거 중 ‘공격에 사용된 81개 악성코드를 만든 독특한 제작기법’에 대한 일부 정보도 노출됐다.
파워포인트 내용을 확인한 다수의 보안전문가는 “검찰이 북한 해킹 기법이라고 밝힌 증거자료가 자세히 공개된 이상 국내외 해커들이 해당 코드를 일부러 포함해 악성코드를 만들 가능성이 크다”며 “그 경우 앞으로 유사 범죄가 저질러져도 북한 소행이...
기사 전문 보기 : 월간조선 2011년 6월호
댓글 영역