농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사) 서버운영 시스템 삭제명령의 입력 시점과 경로를 파악하고자 국내외 IP(Internet Protocol)를 추적하고 있다고 22일 밝혔다.
검찰은 이번 사태가 발생한 지난 12일 전후 삭제 명령의 진원지로 알려진 한국IBM 직원의 노트북에 데이터를 주고받은 흔적을 남긴 수백여개의 IP를 역추적해 사건과의 관련성 여부를 캐고 있다.
노트북에 흔적을 남긴 IP 가운데는 해외에서 접속된 것도 있으며, 검찰은 이들 해외 IP가 범행 과정을 위장하기 위해 도용된 것인지 여부를 집중 조사중인 것으로 전해졌다.
검찰 관계자는 "문제의 노트북과 한 번이라도 데이터를 주고받은 IP 중 이번 사건과 직간접적인 연관성을 가진 게 있는지 확인하고 있다"고 말했다.
검찰은 사태 발생 당시 문제의 노트북이 유선랜(LAN)으로 인터넷에 연결돼 있었다는 사실을 파악하고 외부에서 원격조정을 통해 ''공격명령 프로그램''이 노트북에 심어졌을 가능성에 대해서도 조사하고 있다.
프로그램 설치 경위와 관련해 검찰은 이미 노트북 키보드로 직접 입력하지는 않은 것으로 결론 내렸으며 노트북에 수차례 접속된 것으로 확인된 이동식 저장장치(USB)를 통한 입력 가능성은 현재까지 분석 결과로는 크지 않은 것으로 보고 있다.
앞서 검찰은 이 USB가 노트북을 운영ㆍ관리해온 IBM 직원이 사용해온 것임을 확인했다.
아울러 삭제명령 실행으로 파괴된 농협 서버 275개 가운데 일부 서버의 시스템 및 운영파일 등을 압축ㆍ복사해 온 검찰은 이들 파일을 토대로 프로그램의 침입 시점과 경로 등을 확인하는 작업을 계속하고 있다.
뉴스