정부 "'3.20 해킹'에 사용된 IP, 중국이 아니라 농협 IP"

20일 주요 방송사와 금융기관에 대한 해킹 공격과 관련해 농협 해킹에 사용된 악성 코드가 들어온 경로는 애초 발표된 중국 IP 주소가 아니라 농협 내 컴퓨터였던 것으로 드러났다.

방송통신위원회 등 정부의 해킹 사건 합동대응팀은 22일 "농협 해킹에 활용된 것으로 추정됐던 중국 IP에 대해 피해 서버 접속 기록 및 IP 사용 현황 등을 정밀 분석한 결과, 내부 직원이 사내 정책에 따라 사설 IP로 사용하고 있는 것으로 확인됐다"고 밝혔다.

합동대응팀은 이에 앞서 21일 해킹 피해가 발생한 농협을 조사하면서 '101.106.25.105'라는 중국 IP가 백신 프로그램 배포 관리 서버(PMS)에 접속해 악성 파일을 생성했다고 밝힌 바 있다.

이 때문에 중국의 인터넷망을 이용한 북한의 해킹 공격일 수 있다는 추정이 언론에서 제기됐다. 청와대도 "북한의 소행일 가능성에 강한 의구심을 갖고 모든 가능성에 대해 면밀히 추적·분석하고 있다"고 밝히기도 했다.

하지만 PMS 공격에 최종적으로 활용된 컴퓨터가 농협 내부에 있던 것으로 확인되면서 이번 해킹 사건을 일으킨 이들을 파악하는 작업이 다시 이루어질 전망이다. 사설 IP가 사용된 PC의 하드디스크를 경찰청이 추가 확보해 정밀 분석 중이라고 합동대응팀은 밝혔다.

국제인터넷주소관리기구(ICANN)가 할당한 대역 기준으로 해당 주소는 중국에 있는 게 맞다. 하지만 합동대응팀이 IP 주소를 잘못 파악한 이유는 농협이 내부 필요에 따라 사내에서만 쓸 수 있는 사설 IP를 갖추고 있다는 사실을 간과했기 때문이다. 농협이 ICANN에서 사설 IP 주소로 할당한 대역(10.0.0.0∼10.255.255.255, 172.16.0.0∼172.31.255.255, 192.168.0.0∼192.168.255.255)이 아닌 IP를 쓴 탓도 있다.

하지만 공영방송사를 포함한 주요 언론사와 금융기관이 해킹 공격을 당한 사건에서 당국이 초기 조사를 제대로 하지 않았다는 비판은 피하기 어려울 것으로 보인다. 합동대응팀의 애초 발표로 인해 이번 해킹 공격에 중국이나 북한이 관여되어 있다는 성급한 추정이 나왔고, 중국 외교부가 나서 "다른 나라의 IP 주소를 이용해 기타 국가를 공격하는 것은 해커들이 통상 사용하는 수법"이라는 견해를 밝히는 등 한국 정부가 외교 결례를 범하는 결과를 불렀기 때문이다.

한편, 해당 PC가 악성 코드를 심은 최종 경로이긴 하지만 원인이 된 공격은 해외에서 온 것으로 합동대응팀은 파악하고 있다. 합동대응팀은 "해외 유관 기관과 협력해 대응을 추진할 계획"이라며 "24시간 비상 분석 체계를 가동하고는 있지만 사고 관련 자료에 따라 분석에 장시간이 소요될 수도 있다"고 설명했다.

이름
핸드폰번호
이메일	@
금액
결제방법

기사 후원에 참여해 주셔서 감사합니다.