농협의 해킹이 북한 소행일 가능성이 제기되고 있어 눈길을 끈다.

중앙일보에 따르면, 정부는 농협 전산망 마비 사태와 관련한 조사의 초점을 북한에 맞추고 있다. 삭제 명령의 진원지인 한국IBM 직원의 노트북과 서버에 남아 있는 ‘디지털 족적(足跡)’을 역추적한 결과, 그 중 하나가 북한에서 해킹용으로 주로 쓰는 ‘북한발 IP(인터넷 프로토콜)’일 가능성이 크다고 판단하기 때문이다.

정부 고위 관계자는 25일 “한국IBM 직원의 노트북과 서버에 연결된 정황이 있는 수백 개의 IP 중 경로가 의심스러운 IP를 역추적하고 있다”며 “노트북을 경유한 외부 침입자의 해킹이라는 게 지금까지의 잠정 결론이며, 북한의 소행 가능성을 염두에 두고 조사하고 있다”고 밝혔다.

그러면서 “북한은 해킹한 다음 IP 흔적을 지워버리나 정부는 그걸 찾는 기술을 보유하고 있다. 이번 주말이면 사실을 파악할 수 있을 것”이라고 말했다.

조사결과 문제의 노트북은 외부에 반출된 상태에서 자유롭게 인터넷에 연결된 채 사용됐다. 노트북이 사무실에서 농협 전산망에 연결됐을 때도 이동통신 무선데이터망을 통해 외부 인터넷과 접속됐다고 한다. 이 과정에서 악성코드가 심어지고 원격조정을 통해 특정한 시기에 삭제(rm) 명령이 내려진 것으로 정부는 보고 있다.

정부 관계자는 “우리 정보당국은 북한발 해킹용 IP들을 상당수 파악하고 있다”며 “북한은 이들 IP를 통해 수시로 국내 주요 전산망 시설에 대한 사이버 공격을 시도하고 있다는 게 정부의 판단인 만큼 이번에도 그런 시도를 했을 가능성이 충분히 있다”고 주장했다.

한 보안업계 전문가는 “북한은 수시로 해킹용 IP를 통해 국내 주요 전산시설에 대한 해킹을 시도한다”며 “북한 입장에서 남한에 혼란을 일으킬 수 있는 효율적인 방안 중 하나가 사이버 테러이므로 북한은 지속적으로 이런 테스트를 하고 있다”고 말했다.

정부가 북한 소행 가능성에 초점을 맞추는 또 다른 이유는 이번 마비사태의 경우 해커가 데이터를 빼가기 위한 복사 명령을 내리지 않는 등 어떤 이득을 취하려 하지 않았고, 기술적인 해킹만 시도했기때문이다.

2009년 7월 청와대·국방부 홈페이지 등에 대한 사이버 테러가 발생했을 때 원세훈 국가정보원장은 그해 10월 “ 디도스(DDoSㆍ분산 서비스 거부) 공격의 경로를 추적한 결과 중국에서 선을 임차해 쓰는 북한 체신청의 IP인 것으로 확인했다”고 말했었다.

헤럴드 생생뉴스/onlinenews@heraldcorp.com