IT본부·IBM직원 등 3~4명 소환”내부소행·외부해킹 두루 추적”

농협 전산망 마비 사태를 수사하는 서울중앙지검 첨단범죄수사2부(김영대 부장검사)는 17일 농협 IT본부(전산센터) 직원과 농협 서버관리 협력업체인 한국 IBM 직원 3~4명을 참고인 신분으로 불러 조사 중이다.

검찰 관계자는 “농협에서 확보한 서버 접속기록(로그 기록) 분석과 함께 서버 운영 및 보안 업무에 관계된 농협과 IBM 직원 일부를 불러 서버 관리 상태나 접근 방법 등을 확인하고 있다”고 말했다.

로그기록이란 접속자와 접속 일시, 시간 등 컴퓨터에 자동 저장되는 전산운영 정보로, 이를 분석하면 누가, 언제, 어떻게 시스템에 접근했는지 알 수 있다.

이날 소환된 직원 중에는 전산망 접근 권한을 가진 사람이 일부 포함돼 있으며, 특히 메인 서버에 대한 ‘최고 접근 권한(Super Root)’을 가진 직원도 있는 것으로 확인됐다.

최고 접근 권한은 극소수의 농협 및 IBM 직원들만 갖고 있으며 이번 사태의 진원지로 시스템 삭제 명령어가 입력된 노트북도 ‘최고 접근 권한’ 계정으로 접속된 것으로 검찰은 파악하고 있다.

검찰은 이들 직원을 소환 조사하는 것과 별도로 수사관을 직접 서울 양재동 농협 IT본부에 보내 현장 직원들로부터 필요한 사항을 확인하거나 보충 자료를 확보하는 작업도 계속하고 있다.

검찰은 또 시스템 삭제 명령을 내린 문제의 노트북에 남아있던 일부 로그기록을 집중 분석해 삭제 명령의 최초 발원지나 연결 경로를 파악하는 데에도 수사력을 모으고 있다.

앞서 검찰은 우선 소환대상자 20여명을 선별한 뒤 이들의 휴대전화를 수거해 사태가 발생한 지난 12일 전후 통화내역을 확인하고 전산센터 내 CCTV와 출입기록 등을 통해 수상한 행적을 보이는 직원들의 면면을 파악했다.

검찰 관계자는 “분석 결과가 조금씩 나오고 있긴 하지만 확정적으로 삭제 명령이 어디에서 나왔는지는 계속 추적해야 한다”며 “아직까지도 내부 소행이나 전문적인 고수에 의한 외부 해킹 등 모든 가능성을 배제하지 않고 있다”라고 말했다.

연합뉴스