[강은성기자] 농협 해킹에 활용된 것으로 추정됐다며 조사 당국이 발표했던 '중국IP'라는 것이 실은 농협 내부 사설 IP인 것으로 나타났다.
방송통신위원회는 공격에 활용된 것으로 의심된 중국IP와 관련해 추가 분석된 내용을 22일 발표하면서 전일 발표했던 내용을 번복했다.
방통위는 지난 21일 "농협 시스템에 대한 분석 결과, 중국 IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다"고 발표한 바 있다.
하지만 이날 방통위는 오후 3시경 긴급브리핑을 열고 "해당 IP 주소는 중국이 아니고 농협의 내부 사설IP인 것으로 판명됐다"고 수정해 발표했다.
한국인터넷진흥원(KISA) 이재일 본부장은 "농협 해킹에 활용된 것으로 추정되었던 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석한 결과, 내부직원이 사내정책에 따라 사설IP로 사용하고 있는 것으로 확인됐다"면서 "경찰청은 관련 PC의 하드디스크를 추가 확보해 정밀 분석 중"이라고 전했다.
◆왜 중국IP라고 착각했나
조사당국은 당초 농협 해킹에 활용된 IP(101.106.25.105)가 중국의 것이라고 판단했다. 보통 IP는 국제 규약에 따라 국가별 주소체계를 갖게 되는데, 해킹에 사용된 IP가 마침 중국 주소체계를 따르는 것으로 판단됐기 때문이다.
그러나 보다 면밀한 조사 결과 이는 농협의 내부 인트라망을 통하는 사설IP로 드러났다.
사설IP란 기업이나 개인이 임의로 개설해 사용하는 IP주소를 말한다. 공인 IP는 주소가 충분치 않은데다 비용 또한 비싸 필요한 만큼 충분히 구입해서 사용하는 것이 원활치 않다. 때문에 대부분의 기업이나 개인들은 내부에서 임의로 IP를 생성해 이용하고 있는 것.
이런 사설IP는 주소체계가 국제 규약을 따르지 않기 때문에 경로 추적이 힘들기는 하지만 그렇다고 불법은 아니다.
조사당국은 "농협 해킹에 사용된 사설 IP가 해외를 거쳤을 수도 있다"면서 "해킹의 패턴을 보면 진원지에서 바로 공격을 하는게 아니라 수많은 경로를 거쳐 공격 근거지를 숨기려고 한다. 따라서 해당 IP가 악성 공격을 하면서 해외를 경유했을 가능성은 있고, 그중에 중국이 포함될 수도 있지만 중국IP라고 단정할 수는 없다"고 말했다.
방통위는 지난 21일 오전 10시 브리핑을 한 후 합동조사반 및 실무진을 통해 '중국IP가 아닐수도 있다'는 보고를 같은 날 18시경 전달받고, 이후 밤샘 분석을 거쳐 중국 IP가 아닐 수도 있다고 발표를 하게 됐다.
방통위 네트워크정보보호팀 이승원 과장은 "신속하게 정보를 알려드리려다 본의 아니게 (부정확한 정보를 주는 상황으로) 그리 됐다"며 "앞으로는 최종 확인된 정확한 사실만 전달하겠다"고 유감을 표명했다.
한편 이번에 사이버 공격을 받은 금융기관 중 신한은행과 제주은행은 복구를 완료해 정상화됐으며 농협은 복구작업이 진행중이라고 조사당국은 밝혔다.
KBS·MBC·YTN은 약 10% 수준의 복구율을 보이고 있다.
정부는 피해기관의 PC 복구 지원을 위하여 피해 PC의 삭제자료 복구기능을 탑재한 전용 프로그램을 개발하고, 피해기관의 요청이 있는 경우 적극 지원할 계획이다.
강은성기자 esther@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기