농협 해킹 北소행 결론냈지만… "허술한 전산망 관리 면죄부 안돼"

김영대 중앙지검 첨단범죄수사 부장검사가 농협 전산망 공격 시나리오를 설명하고 있다. /김주영기자

지난달 국내 금융시장을 발칵 뒤집어놓은 농협 전산망 마비 사태는 북한 정찰총국이 치밀하게 준비한 새로운 형태의 사이버테러로 드러났다. 하지만 농협의 허술한 전산망 관리와 완벽하지 못한 방어 체계가 이 같은 재난의 단초를 제공했다는 지적도 나온다. 서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 지난 4월12일 벌어진 농협 전산망 장애사건은 앞선 두 차례의 국내 전산망 분산서비스거부(DDoSㆍ디도스) 공격을 벌인 것으로 파악된 북한의 소행이라고 3일 밝혔다. 검찰의 한 관계자는 "한국IBM 직원 노트북에서 발견된 81개 악성코드를 분석한 결과 농협 서버 공격에 사용한 악성코드를 암호화하는 방식 등 여러 기법이 국내 관공서를 공격했던 2009년 7ㆍ7 디도스 사건과 올해 3ㆍ4 디도스 사건과 매우 유사하다"고 말했다. 검찰은 당시 디도스 사건을 북한의 소행으로 결론 내렸다. 그러나 일각에서는 정황적 추정에 따른 결론이 아니냐는 지적도 제기된다. 특정 해커나 진원지 등 범행 주체를 확인하지 못한 상태에서 해킹방식의 유사성만을 이유로 북한을 지목하는 것은 무리라는 시각이다. 검찰이 북한의 범죄 실익이 무엇인지 구체적으로 설명하지 못한 점도 미심쩍은 대목으로 남는다. 보안업계에서는 섣불리 북한의 소행으로 단정하기 어렵다는 반응을 보이고 있다. 한 보안 전문가는 "IP는 조작이 가능한 만큼 IP만으로 이번 농협 사태의 범인이 7ㆍ7, 3ㆍ4 디도스 공격을 한 인사와 동일범이라고 말하기에는 근거가 약하다"고 설명했다. 다른 전문가도 "북한의 소행일수도, 아닐 수도 있지만 디도스 대란 이후 사이버 공격만 발생하면 북한 소행으로 결론짓는 행태에는 문제가 있다"고 비판했다. 전문가들은 북한의 소행 여부를 차치하고라도 이번 사고를 통해 금융업계 전반의 보안인식에 경종을 울리는 계기가 돼야 한다고 지적한다. 검찰 등에 따르면 농협은 매달 바꿔야 할 최고관리자 비밀번호를 지난해 7월 이후 한번도 변경하지 않았고 관리대장에는 매월 바꾼 것으로 허위 기재했다. 비밀번호는 유지보수업체 직원에게까지 누설했으며 시스템 관리용 노트북을 통제 없이 외부 반ㆍ출입시켰다. 그러나 농협은 노트북 통제, 최고관리자 비밀번호 등에 대해 사태 초기부터 거짓말로 일관해 비난을 받았다. 따라서 농협이 실추된 신뢰를 회복하는 데 적지 않은 시간이 필요할 것으로 보인다. 검찰의 한 관계자는 "농협의 허술한 보안 관리 등의 문제점에 대해 관련 기관의 조치가 있어야 할 것"이라고 지적했다. 한편 농협은 재발 방지를 위해 5,100억원을 투자해 정보기술(IT)지원 시스템을 구축하기로 했다. 최고정보보호책임자(CSO)를 운용하고 'IT통합관제센터'를 신설하는 등 보안 관련 조직도 확대한다. 또 안철수연구소의 컨설팅을 통해 보안시스템을 재구축하고 정보보호 관리체계도 확고하게 구축하기로 했다.