농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 24일 외부에서 '좀비 PC'나 원격조종 등의 방법으로 서버 파괴를 실행했을 가능성이 있다고 보고 국내외 관련 IP(Internet Protocol)를 역추적하는 데 주력하고 있다.
검찰은 이번 사건이 특정 목적을 겨냥한 '사이버 테러'일 개연성에 무게를 싣고 추적 작업에 수사력을 집중하는 것으로 알려졌다.
검찰은 마비 사태가 발생한 지난 12일 이전 수개월간 서버운영 시스템 삭제명령의 진원지인 한국IBM 직원의 노트북에 접속된 흔적이 있는 수백 개의 IP 가운데 경로와 성격이 의심스러운 IP를 역추적해 사건과의 연관성을 들여다보고 있다.
검찰은 특히 사태 발생 당시 노트북이 유선랜(LAN)으로 인터넷에 연결돼 있었던 점에 주목하고 있다. 외부에서 좀비 PC를 활용하거나 원격조종 등을 통해 노트북에 삭제명령 프로그램을 심거나 실행했을 가능성이 있다는 것이다.
검찰은 삭제명령으로 피해를 본 서버 275대 가운데 일부를 분석하는 과정에서 발견된 다수의 '외부 침입 흔적'이 이런 수법과도 연관이 있는지 면밀하게 살펴보는 것으로 전해졌다.
검찰은 앞서 프로그램이 노트북 키보드로 직접 입력되지 않은 것으로 결론 내렸으며, 노트북에 수차례 접속된 것으로 확인된 이동식 저장장치(USB)를 통한 입력 정황은 아직 발견하지 못한 상태다.
검찰은 일단 이번 사건이 외부 해킹에 의한 것이더라도 내부 시스템 운영 구조나 관리 상태 등에 대한 정보 없이 독자적으로 범행했을 가능성은 작다고 보고 고도로 숙달된 해커와 내부 직원의 공모 가능성을 여전히 염두에 두고 있다.
보안업계 한 관계자도 "공격 루트가 빤히 보이는 내부자 또는 내ㆍ외부자의 단순 공모보다는 외부 해커와 내부자 간 조직적 협력 범죄일 가능성이 크다"고 말했다.
그러나 검찰 안팎에서는 IP 추적 결과 공격 서버가 외국에 있는 것으로 밝혀지면 수사가 장기화할 수 있다는 시각도 있다. 지난 2009년 발생한 7.7디도스(분산서비스거부) 공격도 진원지가 중국 서버라는 것만 확인했을 뿐 사건의 실체를 밝히는 데는 실패했다.