토토사이트 토대리 전산망 장애와 관련한 검찰 수사가 새로운 국면을 맞았다. 최초 서버 운영시스템 삭제명령을 입력한 근원지를 찾기위해 서버에 접속한 수많은 IP 주소를 역추적 하는 과정에서 중국을 포함한 외국의 주소가 다수 발견됐기 때문이다.

서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 27일 토토사이트 토대리 서버에 접속한 중국발 IP 주소들과 2009년 7월 디도스(DDosㆍ분산서비스 거부) 대란에 이어 지난달 국내 40여개 사이트에 디도스 공격을 감행했던 IP 주소들과 비교ㆍ분석하는 작업을 벌이고 있다. 당시 공격은 중국 IP로 이뤄졌지만 국정원의 분석 결과 북한의 체신성이 할당받은 것으로 드러나면서 북한의 소행이었음이 밝혀진 바 있다.

일단 검찰은 북한의 공격 가능성도 여러가지 가능성 가운데 하나일 뿐이라고 확대해석을 경계하며 신중한 입장을 보이고 있다. 검찰 관계자는 “중국을 비롯해 다수의 외국 IP 접속 기록이 발견된 것은 사실이지만 지금까지의 분석 단계에서 북한의 공격이라고 단정지을 만큼 확인된 게 없다”며 “해외 IP를 분석해야 하기에 작업이 좀 더 오래걸리는 측면도 있다”고 밝혔다.

하지만 검찰도 현재까진 북한의 소행 가능성을 완전히 배제하지는 않고 있는 모습이다. 검찰은 2009년과 지난달 디도스 공격 당시의 IP와 이번 토토사이트 토대리 서버 접속기록 분석하는 작업 가운데 일부 겹치는 부분을 확인해 면밀히 분석하는 중이다.

통상의 디도스 공격이 대상 서버의 부하를 늘려 다른 신호를 받지 못하게 방해하는 데 그치는 것과 달리 두 차례 북한의 공격은 악성코드에 감염된 한국의 좀비 PC 하드디스크를 파괴하도록 프로그래밍된 해악성에 비춰 사이버 테러로 규정됐다. 이번 토토사이트 토대리 서버 공격도 최소 한 달 이전에 치밀하고 복잡한 형태로 짜여진 스크립트(명령어 조합) 파일이 침투해 중계서버와 백업서버 모두를 파괴했던 모습에서 일반 해커의 소행과는 차별성을 가진 것으로 분석됐다.

검찰이 계속 수사하고 있는 가운데 이번 사건이 공안 사건으로 비화될 가능성이 점쳐지는 상황이다.

<백웅기 기자 @jpack61> kgungi@heraldm.com