검찰 “농협 해킹은 北 사이버 테러” vs 보안업계 전문가 “납득 어려워”
국가정보전략연구소
2011-05-11 오후 7:34:00
내용 : 5월 3일 서울중앙지검 첨단범죄수사2부(김영대 부장검사) ‘농협 전산망 마비사건을 북한 소행’으로 결론
- 공격명령 발원지 : 농협 전산망 관리업체 한국 IBM직원의 시스템 관리용 노트북
- 노트북 : 악성코드를 심어 좀비PC화 => 전산망 해킹

판단근거:

첫번째 근거:
- 공격명령 서버 IP(인터넷 프로토콜) 1개 : 지난 3.4 디도스 공격 때와 동일.
- 맥 어드레스(랜카드 고유 식별번호)의 일치 : 2010년 9월 북한이 악성코드를 심어놓은 201대 중 하나와 일치

두번째 근거:
- 2009년 7.7 및 2011년 3.4 디도스 공격 해킹수법과 유사
- 악성코드를 웹하드 사이트 업데이트 프로그램으로 위장한 것

세번째 근거 :
- 악성코드가 발각되지 않도록 암호화한 방식 : 3.4디도스 공격때와 유사
- 사후 공격 프로그램 분석 못하도록 방해: 7.7 디도스 공격때와 유사

보안업계 전문가 :
- 약간의 해킹 지식으로 IP위조나 세탁은 어려운 일이 아니다. 따라서, IP만으로 단정하기 어렵다.
- IP 위,변조에 능숙한 해커가 진짜 IP를 노출했을 가능성은 극히 낮다
- 동일한 IP 사용은 교란 작전일수 있다.
- 지난 디도스 공격의 정확한 배후가 밝혀지지 않은 채 마무리되, 북한 소행이라는 결과발표는 추정에 추정을 더하는 셈이다.
- 수많은 좀비 PC가운데 특정 노트북(한국 IBM 직원의 노트북: 농협 서버 관리권한)을 찾기란 힘들다.
- 시스템 운영자외 접근 불가능 핵심파일에 접근했다는 점에서 내부자 소행 가능성이 있다.
- 내부자의 도움 없이 273개 서버에 파괴 명령을 내리는 것은 불가능하다.
- IT전문가(IBM 직원)의 노트북에 악성 프로그램이 7개월동안 깔렸 있었다는 것을 몰랐다는 것도 이상하다.
- 농협의 허술한 보안 체계가 근본적인 문제로, 북한 소행으로 결론시 농협사고에 대한 의혹이 묻히고, 보안 불감증이 커질수 있다.
저작권자 © Institute for National Intelligence Strategy, 무단전재 및 재배포 금지
Notice 분류 내의 이전기사