(서울=연합뉴스) 농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 19일 서버운영시스템 삭제명령어가 '예약 실행'된 사실을 확인하고 경위를 조사하고 있다.
검찰은 삭제명령의 진원지인 한국IBM 직원 노트북의 삭제된 파일을 복구하는 과정에서 이번 사태가 발생하기 최소한 한달 전부터 삭제명령 프로그램이 단계적으로 노트북에 심어진 뒤 지난 12일 지정된 시간에 일제히 실행됐음을 보여주는 증거를 확보했다.
이는 내부 시스템과 운영 구조를 잘 아는 내부 직원의 소행이거나 내부자가 외부 해커와 공모해 범행했을 개연성이 짙다는 점을 시사하는 것이어서 주목된다.
검찰 관계자는 "지금까지 드러난 프로그램의 흔적만으로도 최소 한 달 이상 준비한 계획적 범행으로 보인다"며 "실제 프로그램 제작 기간 등을 포함하면 그보다 더 긴 시간 준비된 것일 수도 있다"고 말했다.
이 관계자는 "범행 방법과 수단이 상당히 치밀하고 복잡하게 이뤄져 사건의 윤곽이 드러날 때까지 많은 시간이 소요될 것 같다"고 덧붙였다.
검찰은 현재까지 진행된 수사 결과만으로는 범행 주체를 특정하기 어려워 특수 목적을 위한 외부 해킹 등 모든 가능성을 열어놓고 수사하고 있다고 밝혔다.
이와 관련, 검찰은 이날 오후 농협IT본부(전산센터)의 실무책임자인 김모 팀장을 참고인 신분으로 불러 전산망이 마비될 당시 서버 관리 상태와 방화벽 작동 유무, 사후 처리과정 등을 조사했다.
김씨는 검찰 조사에서 "외부에서 서버 삭제명령을 내렸다면 외부 방화벽에 걸렸을텐데 이를 통과한 점으로 미뤄 전산센터 시스템작업실 내부에서 명령이 시작됐을 것"이라고 진술한 것으로 알려졌다.
한편, 검찰은 농협 메인서버에 대한 '최고 접근 권한(Super Root)를 가진 농협IT본부 및 IBM 직원 5명 가운데 수상한 행적을 보인 2~3명을 출국금지한 데 이어 일부 직원 자택 등을 압수수색해 개인이 보관하던 서버 및 보안 관련 파일 등 각종 전산자료를 가져와 분석 중인 것으로 전해졌다.
검찰은 시스템 삭제명령어가 노트북 키보드로 직접 입력된 것이 아닌 것으로 결론남에 따라 노트북 접속 사실이 확인된 문제의 이동저장장치(USB)를 통해 명령어 프로그램이 삽입됐는지 여부도 계속 들여다보고 있다.