너무 적은 정보, 너무 많은 가능성. 농협 사태는 정말 북한의 짓일까?

온 나라를 떠들썩하게 만들었던 사상초유의 농협 사태가 대충 마무리돼 가는 분위기입니다. 마무리의 결론은 좀 엉뚱합니다. "북한의 소행"으로 끝날 가능성이 현재로서는 높아 보입니다. 제가 검찰을 신뢰하지 못할 이유는 없습니다. 한국 검찰의 능력은 감히 저같은 일개 민간인의 능력보다 훨씬 뛰어날 거라고 믿습니다. 다만 몇 가지 궁금증은 좀 남습니다. 농협 사태 관련해 보름 정도 열심히 사건 취재에 매달렸던 기자로서의 궁금증입니다. 1. 소스코드가 디도스 공격 당시와 유사하다?

디도스 공격 때 사용된 악성코드는 이른바 '좀비PC'의 사용자가 P2P 사이트 등에서 자발적으로 내려받은 프로그램을 실행시키면서 사용자의 컴퓨터에서 실행됐습니다. 반면 이번 농협 사태에서는 전문가가 사용하는 노트북에서 유닉스 명령어의 삭제 명령이 내려졌습니다. 큰 차이가 있습니다.

디도스 공격의 악성코드가 청와대, 국정원, 국민은행, 네이버 등 주요 웹서비스의 '서버'에 대해 할 수 있는 요청은 '새 페이지를 보여달라'는 게 전부입니다. 이 요청이 수십~수백만 대의 컴퓨터에서 초당 수백만 건 쏟아지면 서버가 견디지 못하고 뻗어버리는 게 디도스 공격의 원리죠. 이 코드가 복잡한 이유는 이런 '단순한 요청'을 복잡하게 만들기 위해서가 아닙니다. 공격을 마친 뒤 공격에 이용된 좀비PC에서 자신의 흔적을 지우고 좀비PC를 파괴하기 위해 복잡한 과정을 밟아야 하기 때문에 복잡해지는 것입니다.

반면 농협 사태는 반대입니다. 서버로 직접 침투해 서버 차원에서 삭제 명령을 내렸습니다. 삭제 명령도 유닉스 명령어인 rm과 dd였다고 검찰이 밝힌 바 있죠. 유닉스 시스템에 직접 들어가 최고 관리자 권한으로 연결된 모든 하위 시스템을 파괴하는 게 '새로 고침' 요청 따위나 하는 디도스 코드와 같은 수준일 수는 없습니다.

이걸 굳이 테러 행위와 비교하자면, 디도스의 경우는 일종의 '소요 조장' 행위입니다. 잘 훈련된 요원들이 유언비어를 퍼뜨리고 주요 반정부단체 요인을 포섭해 대중 봉기 등을 일으키는 게 디도스 공격이죠. 반면 농협 사태는 일종의 '요인 암살'입니다. 철통같은 경호를 받는 요인을 잘 숙련된 암살자가 암살해 엄청난 혼란을 일으키는 식입니다. 접근의 방법이 아예 다릅니다. 그런데 두 공격의 소스코드에서 어떤 공통점을 찾을 수 있었는지 정말 궁금합니다.

2. 그 유사점은 주석인가? 배열인가?

대부분의 프로그래머는 소스코드를 작성하면서 명령어(command)만 나열하지 않습니다. 혼자 모든 작업을 다 하기도 힘들고, 나중에 쉬운 유지보수를 하려면 남들도 쉽게 이해해야 하기 때문에 다른 이들의 코드 수정을 돕기 위한 주석을 군데군데 적어넣습니다. 해커들의 경우 이런 주석 대신 자신이 했다는 흔적을 남기기 위해 일부러 자신의 이름이나, 정치적 메시지 등을 주석에 적어넣기도 합니다. 혹시 그런 주석에서 유사점이 발견됐다는 얘기였을까요? 그렇다면 검찰이 직접 그 주석을 공개해 주시면 의문이 풀릴 겁니다. 하지만 검찰은 주석에 대해서는 언급하지 않았습니다.

아니면 사용되는 일부 스크립트 배열의 유사성일 수도 있습니다. 비슷한 패턴의 명령어 배열이 이뤄지면 아마 비슷한 사람이 만든 게 아닐까 추정할 수 있는 것이죠. 하지만 이미 세상에 돌고 도는 해킹툴이 수없이 많아진 상황입니다. 인터넷에서 내려받을 수 있는 해킹툴도 수두룩하고요. 기본적인 공격 패턴을 하나하나 직접 만드는 대신 이런 툴의 소스코드에서 베껴온다고 해도, 적어도 이런 일을 벌이는 어둠의 세계에서 한 해커가 다른 해커를 '저작권 위반'으로 고소할 일은 없는 겁니다.

3. '백도어 바이러스'의 존재?

검찰은 IBM 직원 노트북에서 백도어 바이러스를 발견했다고 합니다. 애초에 이런 게 발견되는 것 자체가 말이 안 되긴 합니다. 하지만 말도 안 되게, 직원이 이런 노트북을 들고서 농협 외부로 자유롭게 드나들었다니까 발견 자체가 말이 안 된다고 할 수야 없죠. 이 노트북에서 포르노그래피가 발견됐다고 해도 믿어야 할 어이없는 상황입니다. 어쨌든 백도어 바이러스는 다른 경로로도 깔릴 수 있습니다.(이 직원 또는 노트북에 접근 가능했던 다른 농협 직원이 포르노그래피를 다운로드 받으려다 설치했을지도 모릅니다.) 심지어 지난 디도스 공격 때 청와대 서버를 공격했던 좀비PC 가운데 하나가 이 노트북일지도 모릅니다. 그런데 백도어 바이러스 때문에 북한 소행이라고 볼 수 있는 걸까요?

4. 북한의 해킹 능력이 남한의 기간 전산망을 마비시킬 수준?

남한의 기간 전산망의 수준이 이렇게 형편없다는 것을 보여줬으니 틀린 말은 아닐 겁니다. 서버 삭제 명령을 외부로 자유롭게 반출 가능한 노트북에서 내릴 수 있도록 권한 관리에 아무 개념이 없는 농협. 유지보수를 담당하는 기업이면서도 이를 막지 않고, 직원이 이런 권한을 가진 노트북을 (물리적으로) 들고 다니는 걸 두고 본 한국IBM. 이런 상황이 벌어지자 사과는 커녕 "사람이 부족해서 그랬다"며 밥그릇부터 늘리겠다고 나서는 금융감독원. 누구 하나 남 탓하기 어렵습니다. 그들이 대문의 자물쇠를 풀었습니다. 그리고도 도둑을 막겠다고 든다면 어이없는 일이죠.

북한의 해킹 능력이 정말 고도화됐을 가능성도 있습니다. 당연히 준비해야 합니다. 하지만 이번 일은 한동안 IT 업체 직원들 사이에서 화제가 됐습니다. 농협 양재센터는 '개발자의 3대 무덤'이라면서 '그중에 제일이 양재센터'라는 얘기였죠. "저렇게 허술히 관리되는 노트북이었다면 몇 년 전 퇴사하면서 스케줄러(예정작업 실행) 하나 만들어두고 삭제 명령 내린 뒤 스스로 지워지게 만들면 그만이었을 것"이란 짐작까지 어렵잖게 나옵니다. 그리고 농협 사태의 슬픔은 애초에 관리를 엉망으로 해왔기 때문에 사후에 이를 확인할 시스템 또한 갖추고 있지 못하리란 겁니다.

5. 마지막 의문

북한의 짓일 가능성이 없지 않습니다. 하지만 내부 직원의 짓일 가능성도 없지 않습니다. 내외부의 공모일 가능성도 없지 않습니다. 퇴직 직원의 짓일 가능성도 없지 않습니다. 검찰은 어떤 가능성에도 '그 가능성 만큼은 배제할 수 있다'는 답을 하지 못하고 있습니다. 도대체 왜 여러 갈래의 가능성 가운데 단 하나의 가능성도 배제하지 못하는지가 제 마지막 의문입니다.