▶좀비PC 1대가 서버 273대 마비시켜=검찰에 따르면 서버운영시스템 삭제 명령이 내려진 서버관리업체 한국IBM 직원의 노트북은 이미 지난해 9월 4일 악성코드에 감염돼 좀비PC가 되었다. S 웹하드 사이트의 업데이트 프로그램으로 위장된 이 악성코드는 이번 테러를 준비ㆍ실행ㆍ은폐하는 등의 기능별 여러 파일로 나뉘어져 삭제 복구된 것만 81개에 달했다.
이후 ‘공격자’는 좀비PC로부터 각종 데이터를 빼내 검토한 뒤 해당 노트북이 은행시스템 관리자가 사용하는 것으로 판단해 이 노트북을 집중적으로 관리해온 것으로 드러났다. 사용자에게 발각되지 않게끔 일명 ‘백도어(backdoor)’라 불리는 해킹프로그램을 설치해 그 안의 각종 자료는 물론 입력되는 모든 내용을 감시했다. 이를 통해 공격대상 IP 정보와 최고관리자 비밀번호도 확인할 수 있었다.
공격은 지난달 12일 오전 8시20분14초 공격명령 파일을 노트북에 설치하고 오후 4시50분10초 인터넷을 이용한 원격제어를 통해 프로그램을 실행하면서 시작됐다. 한 번 공격 명령을 내리면 유기적으로 연결된 프로그램이 순차 공격을 하는 구조로 설계돼 순차적으로 2, 3차 공격이 이뤄졌고 그 사이 587대 서버 가운데 273대가 피해를 입었다.
검찰 관계자는 “공격이 서버의 모든 데이터를 완전히 삭제해 ‘0’으로 만들어버리도록 해 서버의 운행을 즉시 중단해야만 추가 피해를 막을 수 있을 정도였다”고 설명했다.
이 과정에서 북한은 심지어 노트북에 설치된 프로그램을 통해 공격 성공 여부를 원격 모니터링하며 파괴된 서버 수까지 확인하고 오후 5시20분께 공격 프로그램 등 관련 증거를 삭제해 유유히 추적을 따돌렸다.
▶왜 북한 공격으로 추정했나…디도스 공격과 유사=이 같은 프로그래밍 기법은 북한이 7ㆍ7 디도스, 3ㆍ4 디도스 공격에 썼던 수법과 거의 일치했다. 악성코드가 발각되지 않게 암호화하는 방식이나 프로그램 분석을 어렵게 하기 위해 특정 부분을 다른 문자로 치환해 표기하는 방식은 7ㆍ7 디도스 공격 당시와 완전히 일치했다. 삭제 프로그램이 호출하도록 된 31개 파일의 확장자 종류도 3ㆍ4 디도스 공격 때와 100% 일치했고, 좀비PC를 조종한 서버 IP 1개도 동일한 것으로 밝혀졌다.
이와 관련, 검찰 관계자는 “1개 특정기관에 대한 집중 공격으로 새로운 형태의 사이버 테러 행위”라면서도 “농협 시스템 관리용 노트북이 별도 통제 없이 외부 반ㆍ출입된 점, 2010년 7월 이후 최고관리자 비밀번호 변경이 없었던 점 등 허술한 보안 관리가 공격의 빌미를 제공했다”고 밝혔다.
검찰은 향후 관공서와 금융기관 등 주요 전산망 관리 PC에 대해 전수조사를 통해 필요한 대응조치를 하고, 해당 PC는 전혀 외부에 노출되지 않도록 하는 관련 규정 및 지침을 정비하도록 제도적 대책을 마련할 계획이다.
백웅기 기자/kgungi@