농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 28일 서버 운영시스템 삭제 명령의 진원지인 한국IBM 직원의 노트북에서 ''악성코드''를 대량 발견해 분석하고 있다고 밝혔다.
검찰은 삭제명령 프로그램이 실행된 이 노트북에서 30~40여개의 악성코드를 추가 발견해 이들이 언제, 어떻게, 어느 경로로 들어왔는지와 이번 사건과 직ㆍ간접적인 관련이 있는지를 조사하고 있다.
이 악성코드들은 대부분 시스템에 별 영향을 주지 못하고 쉽게 치료되지만 일단 활동을 시작하면 치명적인 바이러스로 돌변하는 것들도 여럿 있는 것으로 전해졌다.
검찰은 특히 이들 악성코드가 노트북에 접속된 것으로 확인된 중국발 IP(인터넷 프로토콜)를 비롯해 출처가 의심스러운 경로를 통해 들어와 농협 서버에 타격을 준 것은 아닌지 집중적으로 들여다보는 것으로 알려졌다.
검찰 관계자는 "현재는 악성코드가 어떻게 노트북으로 유입됐는지를 밝혀내는데 주력하고 있으며 이번 사건과의 연관성 여부는 아직 확인된 바 없다"고 말했다.
검찰은 아울러 국가정보원과 공조해 중국발 IP가 북한 체신성 소유의 것으로 확인된 지난 ''3.4 디도스(DDos.분산서비스거부) 공격'' 때의 IP나 2009년 ''7.7 디도스 대란''을 유발한 IP와 경로 등에서 일치하는 부분이 있는지 계속 살펴보고 있다.
검찰은 일단 중국 등 해외에서 들어온 출처 불명의 IP를 통해 문제의 노트북에 삭제명령이 심어졌을 가능성이 큰 것으로 보고 있으나 이들이 국내에 근거지를 둔 위장 IP일 가능성도 염두에 두고 막바지 서버 분석작업을 계속하고 있다.