3일 검찰의 발표를 통해 농협의 전산망 장애는 북한의 사이버 테러라는 사실이 밝혀졌다. 하지만 그 이전에 농협 및 농협의 서버관리를 담당해온 한국 IBM 측의 허술한 보안 관리가 공격의 빌미를 제공했다는 비판을 피할 수 없게 됐다.

당초 알려진대로 농협의 서버 운영시스템 삭제 명령은 IBM 직원 한모 씨의 노트북에서 내려졌다. 검찰에 따르면 한 씨가 보유한 노트북은 2009년 9월 4일 S웹하드 사이트를 통해 유포한 악성코드에 감염됐다. 애초 해당 악성코드는 감염된 PC를 좀비PC로 만들어 디도스 공격 등에 활용하기 위한 것이었던 걸로 추정된다.

하지만 한 씨의 노트북엔 예사 자료가 아닌 은행의 서버 관리를 위한 프로그램과 데이터가 저장돼있던 상황. 북한은 이 같은 사실을 감지하고 한 씨 노트북의 자료 및 서버 접속 기록 등을 예의주시하며 공격을 준비해왔던 것으로 드러났다.

공격은 치밀하게 이뤄졌다. 사이버 테러를 준비하고 실행, 은폐하는 등의 기능별 악성코드가 최소 81개의 파일로 나뉘어 저장매체 곳곳에 잠복돼 있었다. 그리고 지난달 12일 오전 8시20분14초 공격명령 파일이 설치돼 오후 4시50분10초 인터넷을 이용한 원격작동으로 삭제 명령이 실행됐고, 273개의 서버 운영시스템이 삭제돼 농협 전산망은 불능상태에 빠졌다.

이 과정에서 북한은 사용자에게 발각되지 않게끔 일명 ‘백도어(backdoor)’라는 해킹 프로그램을 동원했고, 사용자의 키보드 입력내용을 파악할 수 있는 ‘키로깅(key logging)’ 프로그램도 깔아뒀다. 지난해 7월 이후 변함이 없던 농협 서버 최고관리자 비밀번호는 손쉽게 노출됐다.

방화벽도 무용지물이었다. 방화벽마다 각기 다른 특징을 갖고 있는 바, 농협 측의 방화벽은 내부 정보가 바깥으로 새나가는 데에는 취약한 구조였다. 더욱이 한 씨의 노트북엔 이를 방지하기 위해 설치하는 농협 자체 보안프로그램조차 IBM 측의 내부 보안 규정 문제로 인해 설치되지 않았다. 보안 프로그램 설치는 막은 반면에 웹하드 사이트 다운로드 프로그램 설치로 인한 악성코드 감염은 쉽게 허용한 셈이다.

이에 검찰은 “농협 시스템 관리용 노트북이 별도 통제없이 외부 반ㆍ출입된 점, 2010년 7월 이후 최고관리자 비밀번호 변경이 없었던 점 등 허술한 보안 관리가 공격의 빌미를 제공했다”고 꼬집었다. 검찰은 악성코드 감염PC가 더 있을 수 있다는 판단에 관공서와 금융기관 등 주요 전산망 관리 PC에 대한 전수조사를 벌일 방침이다.

<백웅기 기자 @jpack61>
kgungi@heraldcorp.com