'최고 접속권한' 직원 2~3명 출국금지
(서울=연합뉴스) 농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 18일 서버운영시스템 삭제명령의 진원지인 협력업체 직원 노트북에 이동식 저장장치(USB)가 접속된 흔적을 발견해 경로를 역추적하고 있다.
검찰은 사태가 발생한 지난 12일 전후로 농협 서버관리 협력업체인 한국IBM 직원의 노트북에 출처를 알 수 없는 USB가 수차례 접속된 사실을 찾아내고 이 USB에서 노트북으로 삭제 명령어가 전달됐는지 여부를 확인하고 있다.
아울러 농협IT본부(전산센터)에서 확보한 문제의 USB를 포렌식센터에 맡겨 정밀 감식 및 분석작업을 벌이고 있다.
검찰은 삭제명령어가 파일 형태로 돼 있는 점에 비춰 단순 실수나 사고라기보다는 누군가가 고의로 파일을 생성해 메인 서버를 공격했을 가능성이 큰 것으로 보고 서버에 대한 '최고 접근 권한(Super Root)'을 가진 내부 직원 등을 잇따라 소환 조사하고 있다.
검찰은 이와 관련, 전산망 접근 권한을 가진 농협 전산센터 소속 직원 3~4명을 이날 참고인으로 불러 전산망이 마비될 당시 서버 관리 상태와 동선, 사태 직후의 사후 처리 방법 등을 조사했다.
아울러 서울 양재동의 전산센터에 수사관들을 보내 보안담당 직원들에게 외부 해킹에 대비한 보안시스템 수준과 방화벽 정책 등을 묻고 관련 전산자료를 받아 분석하고 있다.
앞서 검찰은 사건 연루자의 해외 도피를 막고자 '최고 접근 권한'을 가진 핵심 직원 2~3명을 출국금지 조치한 것으로 전해졌다.
검찰은 현재까지의 수사 상황에 비춰 내부 직원 또는 내ㆍ외부인이 공모해 의도적으로 농협 서버를 공격했을 가능성에 무게를 두고 있으나 좀비 PC 등을 동원한 외부 해킹 가능성도 열어놓고 수사하고 있다.
한편, 검찰은 이번 사건과 현대캐피탈 고객정보 해킹 유출사건의 연관성도 면밀히 조사 중이다.
검찰은 농협 사태와 현대캐피탈 사건의 발생 시점이 시기적으로 근접해 있는데다 외부 해킹 가능성이 여전히 상존해 있는 점 등을 고려해 두 사건의 '공통분모'가 있는지 집중적으로 살펴보고 있다.
검찰 관계자는 이와 관련 "농협 사태도 고객정보를 노린 현대캐피탈 사건과 마찬가지로 특정한 목표를 겨냥해 외국에서 가해진 해킹 공격에 의해 일어났을 가능성을 배제하지 않고 수사하고 있다"고 말했다.
검찰은 현대캐피탈 고객의 개인정보 해킹을 국내에서 지휘한 혐의로 구속영장이 청구된 허모(40)씨와 이미 구속된 공범 유모(39)씨를 상대로 농협 사태 개입 여부를 집중 추궁할 계획이다.