김영대 중앙지검 첨단범죄수사2부장

  • 3일 농협 전산망 마비사태에 대한 검찰 수사결과를 발표한 김영대 서울중앙지검 첨단범죄수사 2부장은 "이번 사건은 북한에 의한 새로운 형태의 사이버테러"라고 밝혔다.

    다음은 일문일답

    -북한 관련이라고 단정하는 이유는.

    ▲노트북에 장착된 무선랜카드 맥어드레스가 좀비 아이디로 확보됐다. 이 좀비 아이디가 북한에서 특별 관리해오던 것으로 확인됐다.

    -7.7 디도스 공격 때 북한 체신청의 임대 IP가 발견된 것처럼 북한 쪽 IP가 발견된 것은 있나.

    ▲IP 쪽은 확인된 것이 없다.

    -좀비 아이디가 북한이 특별 관리하던 것이라는 것 외에 다른 증거는 없나.

    ▲범행 준비 기관이 7개월 이상인데, 일련의 전 과정을 계획하고 실행하려면 상당한 규모의 인력이 필요하다. 몇 십 명 정도가 특별한 이유 없이 일을 했다는 것도 북한 소행이라는 어느 정도의 근거가 된다. 또 범행 수법은 마치 필체와도 같은 것인데 3.4, 7.7 디도스 때 수법과 거의 유사하다.

    -웹하드 사이트를 통한 악성코드 감염이나 자동업데이트 위장 수법은 특정 집단이 아니라도 할 수 있는 수법 아닌가.

    ▲웹사이트 이용에 필요한 프로그램 업데이트로 위장하는 방식은 간단한 게 아니다. 그리고 프로그램을 설치하거나 푸는 방식이 모두 독특하고, 프로그램에 이용한 파일의 확장자의 종류와 그에 따른 실수마저 동일하다.

    -북한이 맞다면 농협을 고른 이유가 있을까.

    ▲이번에는 농협을 타깃으로 했다기보다는 악성코드 유포과정에서 협력업체 직원이 감염됐는데, 그 사람이 마침 농협 관련 업체에 일을 했기에 농협이 대상이 된 측면이 있다.

    -내부자 소행은 아닌가.

    ▲내부자들도 조사했는데 내부에서 악의를 가진 사람은 없는 걸로 드러났다.

    -사건 초기부터 사이버테러 가능성을 염두에 뒀나.

    ▲농협 전산장애 발생 다음날 범죄인 것 같다는 기사가 나오기 시작했고, 테러든 내부자 소행이든 범죄 가능성이 있겠다고 생각해 확인에 들어갔다.

    -보통 서버는 내부망, 외부망 분리되는데 농협은 분리 안 됐나.

    ▲분리되지 않았다. 다만 농협 PC에는 보안프로그램이 깔려있다. 문제의 노트북은 유지 보수업체의 것으로 보안 프로그램이 깔려있지 않았다.

    -보안 프로그램 깔려 있었으면 전산망 장애 막을 수 있었나.

    ▲보안프로그램이 깔려 있으면 웹하드 사이트에 접속을 못한다. 때문에 이번 사태를 막을 수 있었을 것으로 본다.