농협 전산망 장애와 관련한 스포츠토토 수사가 새로운 국면을 맞았다. 최초 서버 운영 시스템 삭제 명령을 입력한 근원지를 찾기 위해 서버에 접속한 수많은 IP 주소를 역추적하는 과정에서 중국을 포함한 외국의 주소가 다수 발견됐기 때문이다.

서울중앙지검 첨단범죄수사2부(부장검사 김영대)는 27일 스포츠토토 서버에 접속한 중국발 IP 주소들과 2009년 7월 디도스(DDoSㆍ분산서비스 거부) 대란에 이어 지난달 국내 40여개 사이트에 디도스 공격을 감행했던 IP 주소들과 비교ㆍ분석하는 작업을 벌이고 있다. 당시 공격은 중국 IP로 이뤄졌지만 국정원의 분석 결과, 북한의 체신성이 할당받은 것으로 드러나면서 북한의 소행이었음이 밝혀진 바 있다.

일단 스포츠토토은 북한의 공격 가능성도 여러 가지 가능성 가운데 하나일 뿐이라고 확대 해석을 경계하며 신중한 입장을 보이고 있다.

스포츠토토 관계자는 “중국을 비롯해 다수의 외국 IP 접속 기록이 발견된 것은 사실이지만 지금까지의 분석 단계에서 북한의 공격이라고 단정 지을 만큼 확인된 게 없다”며 “해외 IP를 분석해야 하기에 작업이 좀 더 오래 걸리는 측면도 있다”고 밝혔다.

하지만 스포츠토토도 현재까진 북한의 소행 가능성을 완전히 배제하지는 않고 있는 모습이다. 스포츠토토은 2009년과 지난달 디도스 공격 당시의 IP와 이번 농협 서버 접속 기록을 분석하는 작업 가운데 일부 겹치는 부분을 확인해 면밀히 분석하는 중이다.

통상의 디도스 공격이 대상 서버의 부하를 늘려 다른 신호를 받지 못하게 방해하는 데 그치는 것과 달리, 두 차례 북한의 공격은 악성코드에 감염된 한국의 좀비PC 하드디스크를 파괴하도록 프로그래밍이 된 해악성에 비춰 사이버테러로 규정됐다. 이번 스포츠토토 서버 공격도 최소 한 달 이전에 치밀하고 복잡한 형태로 짜인 스크립트(명령어 조합) 파일이 침투해 중계 서버와 백업 서버 모두를 파괴했던 모습에서 일반 해커의 소행과는 차별성을 가진 것으로 분석됐다.

스포츠토토이 계속 수사하고 있는 가운데 이번 사건이 공안사건으로 비화될 가능성이 점쳐지는 상황이다.

백웅기 기자/kgungi@heraldm.com