북한 해커들, 농협 전산망 어떻게 침투했을까?
2011-05-03 임민희 기자
3일 검찰에 따르면 삭제명령이 실행된 노트북은 작년 9월4일 오후 11시께 S웹하드 사이트에서 악성코드에 감염돼 좀비 PC(디도스 공격을 하는 바이러스에 감염된 PC)로 변했다. 범인들은 그 당시 S웹하드 사이트에 업데이트 프로그램으로 위장된 악성코드를 유포해 놓았다.
이후 범인들은 확보한 좀비 PC들에서 각종 데이터를 분석하다 그중 한국 IBM 직원의 노트북을 발견, 7개월 이상 집중 관리에 들어갔다. 이들은 정보를 빼내기 위해 지난 3월11일 오후 6시께 '백도어(Backdoor)'라는 해킹 프로그램을 이 노트북에 설치했고 파일 삭제 프로그램은 그로부터 열흘쯤 뒤 이 노트북에 깔렸다.
범인들은 해킹 프로그램을 통해 노트북에 있는 각종 자료와 노트북에 입력되는 모든 내용을 빼갔다. 도청 프로그램까지 사용해 노트북 주인의 일거수일투족을 치밀하게 감시했다. 공격대상 IP와 농협.IBM 직원 등 4~5명만 가진 최고접근권한(Super Root)의 비밀번호 등도 이렇게 빠져나간 것으로 검찰 수사결과 드러났다.
공격명령 파일이 설치된 건 사태가 발생한 지난달 12일 오전 8시20분께로 확인됐다. 범인들은 공격명령 파일 설치 후 오후 4시50분께 인터넷을 이용한 원격제어로 공격명령 프로그램을 실행했다.
이들은 노트북에 설치된 모니터링 프로그램으로 공격 성공 여부를 원격으로 지켜보다가 흔적을 남기지 않으려고 공격실행 40분 후인 오후 5시30분께 미리 심어둔 프로그램을 이용해 악성코드를 삭제했다.
서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 이날 '농협 해킹'이 2009년 7.7디도스 및 지난 3.4 디도스 공격을 감행했던 동일 집단이 장기간 치밀하게 준비해 실행한 것으로 '북한이 관여한 초유의 사이버테러'라고 발표했다.
검찰은 문제의 노트북이 범행을 위해 "7개월 이상 집중 관리됐다"면서 장기간 치밀하게 준비된 새로운 형태의 사이버 테러라고 설명했다.