昨年9月4日午後10時48分、ハンさんのノート型パソコンは、北朝鮮がウェブハード会社S社のホームページのアップデートプログラムになりすました悪性コードに感染し、ゾンビパソコンになった。その頃、北朝鮮のハッカーは、悪性コードに感染したゾンビパソコンのデータをモニタリングし、農協電算網を管理していたハンさんのノート型パソコンの機密情報に注目した。昨年10月22日午前9時47分、北朝鮮のハッカーは、ハンさんのノート型パソコンにキーボード入力した全ての内容が分かる「キーロギング(keylogging)プログラム」のインストールに成功した。
3月11日午後には、北朝鮮は「バックドア(Backdoor)」というハッキングプログラムの設置を完了した。農協電算網のサーバー管理者に気付かれることなく、電算網にアプローチできるようになったことで、ハッカーらは農協電算センターにしきりに接続した。3月22日午後12時57分、ファイル削除関連プログラムを設置してからは、本格的に農協電算センターの内部動向を監視し始め、ここ1ヵ月間、A4用紙1073ページ分の情報をキーロギングで盗み取った。また、その時から、ハンさんのノート型パソコンに「音声傍受プログラム」まで設置し、ハンさんがノート型パソコンで行う作業音や電算センター内部の作業者同士の会話までリアルタイムで傍受した。
北朝鮮は、ハンさんのノート型パソコンに傍受プログラムの他にも△画面キャプチャープログラムを始め、攻撃命令プログラムなど監視用プログラム△破壊対象リストプログラム、サーバー類型別削除命令プログラム、削除実行プログラムなど攻撃用プログラム△復旧不可能なプログラムなど、犯行隠ぺい用プログラムなど、81の悪性コードを密かに設置した。この悪性コードは、一般のワクチンプログラムで発見されないよう密に組み込まれた。また、ハッカーが農協のサーバーを攻撃直後、これらのプログラムを削除し、捜査初期段階に、このようなプログラムが設置されていた事実すら確認できないようにした。北朝鮮は、このような悪性コードを通じ、攻撃する農協のサーバーやコンピューターのIPを確保し、「最高接近権限(スーパールーツ)」を獲得できる「最高管理者暗証番号」まで盗み取った。
サイバーテロ準備にはかなりの時間がかかったが、攻撃は意外と簡単だった。先月12日午前8時20分、「Dデイ」が来ると、北朝鮮は農協電算網に攻撃命令を出すファイルをハンさんのノート型パソコンに設置した。傍受プログラムで電算センター内部の雰囲気まで把握していた北朝鮮のハッカーは、同日午後4時50分になると、インターネットを通じ、ハンさんのノート型パソコンに最終攻撃命令を出した。農協のサーバーデータの全削除命令の「rm」「dd」が入力されるや否や、電算網は一瞬でマヒ状態になった。攻撃プログラムは、複数のプログラムが有機的に連結されており、逐次に自動実行され、攻撃命令を受けた内部サーバーは、他のサーバーに対し、2次、3次の攻撃命令を出し、サーバーが連鎖的に破壊された。攻撃は、農協側が被害の拡散を防ぐため、サーバーの運行を強制中断せざるを得ないほど強かった。
犯行後の逃走も奇抜だった。攻撃を受けたサーバーは、被害状況をハンさんのノート型パソコンへ報告するようプログラミングされており、北朝鮮のハッカーはハンさんのノート型パソコンを通じ、攻撃結果を確認後、追跡を避けるため、ノート型パソコンにあった攻撃プログラムとその証拠を削除後、悠々と消えた。農協のサーバー587台のうち、273台が全て破壊された後だった。
About Dong-A Ilbo