IT본부·IBM직원 등 3~4명 소환
"삭제명령어 문제의 노트북서 생성 안돼"

(서울=연합뉴스) 농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 17일 농협 IT본부(전산센터) 직원과 농협 서버관리 협력업체인 한국 IBM 직원 3~4명을 참고인 신분으로 불러 조사했다.

검찰 관계자는 "농협에서 확보한 서버 접속기록(로그 기록) 분석과 함께 서버 운영 및 보안 업무에 관계된 농협과 IBM 직원 일부를 불러 서버 관리 상태나 접근 방법 등을 확인했다"고 말했다.

로그기록이란 접속자와 접속 일시, 시간 등 컴퓨터에 자동 저장되는 전산운영 정보로, 이를 분석하면 누가, 언제, 어떻게 시스템에 접근했는지 알 수 있다.

이날 소환된 직원 중에는 전산망 접근 권한을 가진 사람이 일부 포함돼 있으며, 특히 메인 서버에 대한 '최고 접근 권한(Super Root)'을 가진 직원도 있는 것으로 확인됐다.

최고 접근 권한은 농협 및 IBM 직원 등 4~5명만 갖고 있으며 이번 사태의 진원지로 시스템 삭제 명령어가 입력된 노트북도 '최고 접근 권한' 계정으로 접속된 것으로 검찰은 파악하고 있다.

이에 따라 검찰은 '최고 접근 권한'을 가진 직원들이 이번 사태와 직·간접적으로 연관됐을 가능성을 높게 두고 조사를 벌이고 있다.

검찰은 이들 직원을 소환 조사하는 것과 별도로 수사관을 직접 서울 양재동 농협 IT본부에 보내 현장 직원들로부터 필요한 사항을 확인하거나 보충 자료를 확보하는 작업도 계속하고 있다.

검찰은 또 시스템 삭제 명령을 내린 문제의 노트북에 남아있거나 수사과정에서 복구한 일부 로그기록을 집중 분석해 삭제 명령의 최초 발원지나 연결 경로를 파악하는 데에도 수사력을 모으고 있다.

검찰은 일단 지금까지 조사 결과 '삭제 명령어'가 문제의 노트북 키보드를 동작해 직접 생성된 것은 아니라는 사실을 확인했다.

즉 '삭제 명령어'가 이동식 저장장치(USB)를 통해 문제의 노트북에 유입됐거나 특정 프로그램을 통해 다운로드됐을 가능성이 높다는 게 검찰의 설명이다.

검찰은 그러나 USB 접속기록까지 삭제됐을 가능성도 있어 '명령 파일'의 최초 진원지를 찾는 데는 시간이 더 걸릴 수도 있다고 내다봤다.

검찰 관계자는 "삭제 명령이 어디에서 나왔는지는 계속 추적해야 한다"며 "아직도 내부 소행이나 전문적인 고수에 의한 외부 해킹 등 모든 가능성을 배제하지 않고 있다"라고 말했다.

검찰은 이번 주초께 사건 당시 현장에 있던 사람들의 윤곽은 잡힐 것으로 전망했다.

검찰은 그간 우선 소환대상자 20여명을 선별한 뒤 이들의 휴대전화를 수거해 사태가 발생한 지난 12일 전후 통화내역을 확인하고 전산센터 내 CCTV와 출입기록 등을 통해 수상한 행적을 보이는 직원들의 면면을 파악해왔다.
천지일보는 24시간 여러분의 제보를 기다립니다.
저작권자 © 천지일보 무단전재 및 재배포 금지