檢, 농협 전산망 마비 삭제명령어 '예약실행' 정황 발견

농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 19일 서버운영시스템 삭제명령어가 일제히 '예약 실행'된 정황을 발견해 그 경위를 조사하고 있다.

검찰은 삭제명령의 진원지인 한국IBM 직원 노트북을 복구하는 과정에서 이번 사태가 발생한 지난 12일 이전에 농협의 서버를 공격하도록 프로그램화된 파일이 단계적으로 심어졌고 당일 일제히 실행됐다는 점을 파악할 수 있는 증거를 확보했다.

이는 내부 시스템 사정과 운영구조를 훤히 잘 아는 내부 직원의 소행이거나 내부자가 외부 해커와 공모해 범행했을 개연성이 짙다는 점을 시사하는 것이어서 주목된다.

검찰 관계자는 "지금까지 드러난 프로그램의 흔적만으로도 최소 한달 이상 준비된 계획 범행으로 보인다"며 "실제 프로그램 제작 기간 등을 포함하면 그보다 더 긴 기간 준비된 것일 수도 있다"고 말했다.

이 관계자는 "범행 방법과 수단이 상당히 치밀하고 복잡하게 이뤄져 사건의 윤곽이 드러날 때까지 상당한 시간이 소요될 것 같다"고 덧붙였다.

검찰은 현재까지 진행된 수사결과만으로는 범행 주체를 특정하기 어려워 특수 목적을 위한 외부 해킹 등 모든 가능성을 열어놓고 수사하고 있다고 밝혔다.

한편, 검찰은 농협 메인서버에 대한 '최고 접근 권한(Super Root)를 가진 농협IT본부(전산센터) 및 한국IBM 직원 5명 가운데 수상한 행적을 보인 2~3명을 이미 출국금지 조치한 데 이어 사건 개입 여부를 확인하고 있다.

아울러 몇몇 직원의 자택 등을 압수수색해 개인적으로 보관하던 서버 및 보안 관련 파일 등 각종 전산자료를 확보하고서 분석 중인 것으로 전해졌다.

검찰은 이날도 전산망 접근 권한을 가진 농협 전산센터 소속 직원 3~4명을 참고인으로 불러 전산망이 마비될 당시 서버 관리 상태와 동선 등을 확인했다.

아울러 서울 양재동의 전산센터에 수사관들을 보내 현장 조사를 벌이는 한편 보안 담당 직원들을 만나 보안시스템 수준과 방화벽 정책 등을 알아본 것으로 알려졌다.