• 아시아투데이 로고
檢 “농협 해킹, 7개월 전부터 치밀하게 준비된 北의 사이버테러”

檢 “농협 해킹, 7개월 전부터 치밀하게 준비된 北의 사이버테러”

최석진 기자 | 기사승인 2011. 05. 03. 10:50
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오플러스 공유하기
  • 밴드 공유하기
  • 카카오스토리 공유하기
  • 라인 공유하기
  • 카카오톡 링크
  • 주소복사
  • 기사듣기실행 기사듣기중지
  • 글자사이즈
  • 기사프린트
파일 확장자 7·7 디도스와 93%ㆍ3·4 디도스와 100% 일치
1개의 특정 공격대상 겨냥한 새로운 형태의 공격

                        농협 전산망 장애 사태 수사결과를 발표 중인 김영대 부장검사
[아시아투데이=최석진 기자] 농협 전산망 장애 사태는 지난 2009년 7·7 디도스(DDoS:분산서비스거부) 공격과 올해 초 발생한 3·4 디도스 공격을 시도한 집단과 동일한 북한관련 공격집단이 7개월 전부터 치밀하게 준비해 실행한 사이버테러로 최종 확인됐다.

서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 3일 농협 전산망을 마비시킨 공격집단은 지난해 9월 좀비PC로 사용된 노트북에 악성코드와 해킹프로그램을 삽입한 뒤 7개월 이상 집중 관리하며 비밀번호 등 필요한 정보를 확보해 원격공격을 감행했다는 수사결과를 발표했다.

검찰에 따르면 범인들이 좀비 PC로 사용한 유지보수업체 직원의 노트북은 지난해 9월 S웹하드 사이트에서 범인들이 업데이트 프로그램으로 위장해 유포시킨 악성코드에 감염됐으며, 사용된 악성코드의 수만도 81개에 달했다.

검찰 관계자는 “기존 복수의 공격대상에 대한 디도스 사건들과는 달리 이번 사건은 1개의 특정 금융기관을 공격대상으로 한 새로운 형태의 공격”이라며 “범인들은 구체적인 정보를 획득하기 위해 키로깅(Keystroke logging의 준말. 사용자가 키보드로 PC에 입력하는 내용을 낚아채는 것)과 도청 프로그램까지 사용했고 1달간 키로킹을 통해 취득한 정보만도 A4용지 1073페이지에 이른다”고 말했다.

이 관계자는 “하지만 아직까지 이번 공격을 통해 개인정보나 거래정보가 탈취된 정황은 확인되지 않았다”고 밝혔다.

검찰은 국가정보원, 한국인터넷진흥원 등의 협조를 받아 노트북을 복구해 분석한 결과 북한이 노트북에 장착된 무선랜카드의 맥 어드레스를 좀비 ID로 확보한 뒤 이번 공격에 사용된 노트북을 특별 관리해 온 사실을 확인했다.

또 검찰 수사 결과 악성코드가 발견되지 않도록 암호화하는 방식이 3·4 디도스 공격 때와 거의 일치했고, 삭제프로그램에서 호출하도록 돼있는 30여개 삭제 대상 파일의 확장자 종류가 7·7 디도스 공격 때와는 93%(23개), 3·4 디도스 공격 때와는 100%(31개) 일치했다.

한편 이번 사태의 피해가 확산된 데에는 농협 측의 허술한 비밀번호 관리와 외부 보수업체 직원 관리 등 부실한 보안관리가 원인이 됐던 것으로 확인됐다.

농협 측은 지침상 매월 변경하도록 돼있는 접속 계정 비밀번호를 바꾸지도 않은 채 대장에만 변경한 것으로 기록하고 비밀번호를 파일로 작성해 외부 업체 직원들과 공유했다.

또 외부의 보수업체 직원들이 노트북을 통해 농협 직원과 동일하게 농협 전산망에 접속해 자유롭게 외부 인터넷 등에 접속할 수 있었다.

검찰은 이번에 새롭게 발견된 악성코드들을 백신업체에 제공해 백신개발 및 공급이 이뤄지도록 조치하는 한편 관공서와 금융기관 등 주요 전산망 관리 PC에 대한 전수조사를 관계기관에 의뢰할 방침이다.

*맥 어드레스(Mac Adress) : 네트워크 통신을 위해서 랜카드에 부여된 하드웨어주소


ⓒ"젊은 파워, 모바일 넘버원 아시아투데이"


댓글
기사 의견쓰기