[뉴스토마토 황인표기자] 검찰이 농협 전산 해킹사건 배후로 북한을 지목했지만, 결론을 내리는 과정에서 핵심적인 사실관계를 잘못 파악한 것으로 나타나 논란이 커질 전망이다.
농협 해킹 사건을 수사 중인 서울중앙지검 첨단범죄수사2부는 3일 "농협의 전산망이 내외부가 분리가 안 돼 인터넷으로 삭제 명령이 떨어졌다"고 밝혔다.
하지만 농협 IT관계자는 "내외부망은 물리적으로 분리돼 있다"며 "검찰이 사실관계에 대해 이해를 잘못한 것 같다"고 해명했다.
실제 농협 전산망은 랜 케이블의 내부 망과 외부 망이 물리적으로 분리된 것으로 알려졌다. 즉 외부에서 농협전산망에 접속할 수 없다.
앞서 검찰은 한국IBM직원의 컴퓨터가 작년 8월 웹하드 사이트에서 악성코드에 감염돼 좀비PC가 됐고 이후 7개월 동안 범인들에 의해 집중관리 대상이 됐다고 설명했다.
이후 지난 12일 오전 공격명령 파일이 심어지고 오후에 삭제명령이 내려졌다고 밝혔다.
검찰은 외부 인터넷에 의해 삭제명령이 내려졌다고 설명했지만 실제로는 이같은 방법이 불가능한 것으로 나타나면서 설득력을 잃게 됐다.
◇ "국민은행, 우리은행도 있는데 왜 농협?"
하필 공격 대상이 농협인지에 대해서도 의문이 남는다.
검찰은 "농협을 타깃으로 했다기보다 악성코드 유포 과정에서 농협 측이 감염됐고 감염후 스크린을 해 왔는데 보니까 시스템 관리자로 파악이 된 것 같다"고 전했다.
하지만 금융권에서는 "금융기관에 타격을 주려면 한국은행이나 거래소 같은 금융기관, 국민은행, 우리은행 등 대형 은행이 더 효과적"이라며 "청와대, 국방부 같은 국가기관도 아니고 농민이 주로 거래하는 농협이 대상인지 모르겠다"는 반응이다.
◇ 최고 전문가가 자기 PC 관리도 못 해?
검찰은 "한국IBM직원이 7개월간 자신의 노트북이 좀비PC가 된 걸 몰랐다"고 밝혔다.
이에 대해 한 보안 관계자는 "일반 사용자들도 무료 백신 프로그램으로 PC관리를 하는데 금융권 전산 관리자가 7개월이나 백신 프로그램 하나 사용하지 않았다는 얘기"라며 이해가 되지 않는다는 반응을 보였다.
검찰은 또 이번 해킹에 사용된 악성코드의 제작 기법과 유포 경로ㆍ방식과 사건에 연관된 IP 가운데 하나가 지난 디도스 사건과 일치한다는 점을 들어 북한의 소행이라고 추정했다.
그러나 공격 명령을 내린 한국IBM 직원의 노트북에서 발견된 27개의 IP가 해외에서 온 것이라는 것만 확인했을 뿐 어떤 IP가 공격에 가담했는지는 찾아내지 못한 것으로 알려졌다.
또 IP주소는 가명처럼 바꿔 사용할 수 있기 때문에 IP주소의 실제 컴퓨터를 조사해 봐야 실제 해킹 명령 여부를 알 수 있을 것으로 보인다.