검찰, 농협전산망 삭제‘예약실행’정황 포착

한달넘게 계획된 범행 추정...농협 내부자 소행 시사

(아주경제 김희준 기자)검찰이 농협전산망 마비 사건과 관련 삭제명령의 ‘예약실행’이 실시된 정황을 포착했다.

19일 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 농협 서버운영시스템 삭제명령어가 일제히 ‘예약 실행’된 정황을 발견한 것으로 알려졌다.

검찰은 삭제명령이 실시된 한국IBM 직원 노트북을 복구하는 과정에서 이번 사태가 발생한 지난 12일 이전에 농협의 서버를 공격하도록 프로그램화된 파일이 단계적으로 심어졌고 당일 일제히 실행됐다는 점을 파악할 수 있는 근거를 발견했다.

이는 이번 농협 전산망의 고의성 여부와 함께 내부 직원의 소행 또는 내부자가 외부 해커와 공모해 범행한 개연성의 실마리를 찾아낸 것으로 풀이된다.

이와 관련 검찰 관계자는 “지금까지 드러난 프로그램의 흔적만으로도 최소 한달 이상 준비된 계획 범행으로 보인다”고 밝혔다. 또한 “범행 방법과 수단이 상당히 치밀하고 복잡하게 이뤄져 사건의 윤곽이 드러날 때까지 상당한 시간이 소요될 것 같다”고 언급했다.

검찰은 현재까지 특수 목적을 위한 외부 해킹 등 모든 가능성을 열어놓고 수사하고 있으며 농협 메인서버에 대한 ‘최고 접근 권한(Super Root)를 가진 농협IT본부(전산센터) 및 한국IBM 직원 5명 가운데 수상한 행적을 보인 2~3명을 이미 출국금지 조치했다.

더불어 몇몇 직원의 자택 등을 압수수색해 개인적으로 보관하던 서버 및 보안 관련 파일 등 각종 전산자료를 확보하고서 분석 중인 것으로 전해졌다.

검찰은 특히 전산망 접근 권한을 가진 농협 전산센터 소속 직원 3~4명을 참고인으로 불러 전산망이 마비될 당시 서버 관리 상태와 동선 등을 확인했다. 이와 함께 서울 양재동의 전산센터에 수사관들을 보내 현장 조사를 벌이는 한편 보안 담당 직원들을 만나 보안시스템 수준과 방화벽 정책 등을 확인한 것으로 전해졌다.

한편 농협중앙회측도 이날 브리핑을 통해 서버를 파괴하도록 한 협력업체 노트북 PC의 삭제명령이 농협 정보기술(IT) 본부 분사 시스템작업실 내부에서 시작됐다고 밝혔다.

농협 측은 따라서 시스템보안실 내부에 있었거나 해당 노트북 PC에 이미 삭제명령 프로그램이 보관돼 있다가 실행된 것임을 강력히 시사하며 당시 시스템보안실에는 농협직원 50명과 협력업체 직원 20명 등 모두 70여명이 있었다고 밝혔다.