檢, 농협 전산망 마비 "이번엔 외부 침입 가능성?"

'외부 침입' 흔적 발견…새국면 접어드나

농협 전산망 마비 사태를 수사하는 검찰이 20일 "외부에 의한 침입 흔적이 상당 부분 있다"며 외부기관과 공조를 강화해 원인 규명에 나서기로 했다.

이에 따라 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 금융보안연구원(FSA) 등 전자거래·금융보안 분야의 3∼4개 외부 기관과 적극 공조해 농협 서버운영 시스템과 삭제명령 프로그램 등의 구동 과정을 점검할 방침이다.

검찰 관계자는 "정확한 경로를 파악해 봐야 하기 때문에 당분간 시스템과 프로그램의 분석에 치중할 것"이라며 "당초 생각했던 것보다 더 복잡한 것 같다. 분석에 2∼3주 가량 시간이 소요될 것으로 전망된다"라고 말했다.

검찰이 `외부 침입' 흔적이 있다는 사실을 확인함에 따라 향후 수사는 특정한 목적을 가진 외부 해킹 가능성과 내부자가 외부 해커와 공모해 범행했을 가능성에 무게를 두고 진행될 가능성이 커 보인다.

검찰은 노트북을 비롯한 서버운영 관련 컴퓨터들의 접속기록과 각 운영·명령 프로그램의 생성 시기, 성격 등을 분석하면서 정상적인 프로그램인지 해킹에 의한 프로그램인지 등을 파악하고 있다.

앞서 검찰은 농협의 서버운영 시스템 삭제명령어가 최소한 사태 발생 한달 전부터 노트북에 심어진 뒤 지난 12일 특정 시점에 일제히 실행된 정황 증거를 확보해 경위를 확인 중이다.

이와 관련, 검찰은 삭제명령 프로그램이 오전 8시께 생성돼 오후에 일제히 실행된 사실을 확인하고 정확한 프로그램 생성 경로를 조사하고 있다.

또 메인서버 침입에 이용된 협력업체 직원 한모씨의 노트북이 전산센터 외부로 여러 차례 반출된 사실을 파악하고 이 노트북을 사용한 다른 직원들과 반출 과정 등을 조사하는 것으로 전해졌다.

검찰은 19일에는 농협 IT본부분사(전산센터)의 실무책임자인 김모 팀장을 참고인 신분으로 불러 전산망이 마비될 당시의 서버관리 상태와 방화벽 작동 유무, 사후 처리 과정과 복구 현황 등을 조사했다.