[北, 농협 사이버 테러] 악성코드 암호, ‘디도스’ 때와 45자리 영어·숫자 일치

농협 전산망 마비 사태는 북한 정찰총국 산하 해커집단이 유포한 악성코드에 감염된 한국IBM 직원 노트북에서 공격 프로그램이 가동되면서 시작됐다. 검찰은 범행의 궁극적인 진원지가 북한이라는 근거로 공격 프로그래밍 수법과 인터넷 프로토콜(IP)이 과거 북한 공격 당시와 일치한다는 점을 들었다. 또 해당 노트북의 맥어드레스(노트북 무선랜카드 고유번호) 역시 북한에 의해 조종돼 온 좀비PC와 같다는 게 드러났다.

◇7개월간 치밀하게 준비한 농협 전산망 공격=검찰 수사 결과에 따르면 이번 사태의 발원지로 지목된 한국IBM 직원 한모씨의 노트북은 지난해 9월 4일 오후 11시쯤 한 웹하드 사이트에서 악성코드에 감염됐다. 이 악성코드는 2개월 전 북한 해커집단이 시스템 업데이트 프로그램으로 위장한 것이었다. 이때 퍼진 악성코드에 감염된 국내 PC는 수천대에 이른다. 이 중 국가기관, 금융기관 등의 PC 201대가 북측의 선별관리 대상이 됐다.

해커집단은 악성코드에 감염된 '좀비PC'들의 데이터를 분석하다 한씨 노트북을 발견, 집중 관리했다. 지난 3월 11일 오후 6시에는 '백도어(Backdoor)'라는 해킹 프로그램을 설치한 뒤 도청 프로그램까지 사용해 한씨의 일거수일투족을 감시했다. 빼낸 정보는 A4용지로 1073장 분량이다. 검찰 관계자는 3일 "농협 서버가 마비될 때 '이거 어떻게 된 거야. 조치해'라고 했던 직원 말까지 해커가 들었을 것"이라고 말했다. 극소수 직원만 가진 최고접근권한의 비밀번호도 이렇게 빠져나갔다.

좀비PC가 된 노트북에 공격명령 파일이 설치된 건 사태가 발생한 지난달 12일 오전 8시20분쯤이었다. 해커들은 그날 오후 4시50분 원격조종으로 공격명령 프로그램을 실행했다. 이때부터 서버 운영 시스템 파괴가 시작됐다. 공격은 1·2·3차로 진행됐고 서버 587대 중 273대를 파괴했다. 해커들은 공격실행 30분 뒤 악성코드를 삭제해 침입 흔적을 없앴다.

.......

전문링크: http://media.daum.net/economic/view.html?cateid=1001&newsid=20110503183411366&p=kukminilbo