|
20일 농협 전상망을 마비시킨 악성코드는 중국이 아닌 농협 내부 컴퓨터를 통해 전파된 것으로 확인됐다.
22일 정부 합동대응팀은 "농협 해킹에 활용된 것으로 추정됐던 중국 IP(101.106.25.105)에 대해 정밀 분석한 결과 농협 내부 직원이 사용하던 사설 IP로 확인됐다"며 "사내 컴퓨터가 해킹에 사용됐다는 것으로 해킹의 진원지는 알 수 없다"고 말했다. 이는 농협 전산망 공격의 마지막 단계에 이용된 컴퓨터가 중국이 아닌 농협 컴퓨터라는 것으로 합동대응팀 실무자가 공인 IP주소와 사설 IP주소를 구별하지 않아 혼선이 발생한 것이다. 방송통신위원회는 전날 해킹 피해를 입은 6개 기업 중 농협 시스템에서 중국 IP가 백신 소프트웨어(SW) 배포 관리서버에 접속해 악성파일을 생성했음을 확인했다고 발표했다. 신원이 밝혀지지 않은 해커가 중국 인터넷을 경유해 피해 기관의 백신 SW를 배포하는 업데이트 관리서버(PMS)에 접속해 악성파일을 심어놓은 뒤 정해진 시간에 하위 컴퓨터의 부팅영역을 파괴하도록 명령했다는 것이다. 이 발표에 따라 청와대는 북한의 소행일 수 있다는 데 무게를 두고 모든 가능성에 대해 면밀히 추적하고 있다고 밝혔다. 2011년 3월 디도스 공격을 포함해 과거 북한이 중국 IP를 사용해 사이버테러를 자행한 사례가 있기 때문이다.
그러나 얼마 지나지 않아 합동대응팀은 농협 내에 중국 IP와 동일한 IP를 쓰고 있다는 제보를 받고 곧바로 정밀 분석을 벌인 결과 중국 IP와 동일한 농협의 사설 IP에서 악성코드가 전파된 것을 확인했다.
이에 따라 '북한이 중국을 경유해 국내 전산망을 공격했다'는 주장에 근거가 희박해지면서 정부의 신뢰도 추락을 피할 수 없게 됐다. 실무자의 단순 실수일 수도 있지만 국내 최고의 사이버 침해 사고 대응 전문가들로 구성됐다는 정부 합동대응팀의 조사 결과인데다 이를 정부가 공식 발표했다는 점에서 신뢰도에 타격을 입게 됐다.
또 섣부른 발표로 국민에게 혼란만 가중시켰다는 비난도 피할 수 없을 것으로 전망된다. 일상생활에 밀접한 방송ㆍ금융 기관의 전산망 마비 사태에 정부의 조사 결과가 하루 만에 번복되고 신뢰할 만한 조사 결과가 나오지 않고 있기 때문이다.
이번 혼선으로 인해 배후 추적은 장기화될 것으로 보인다. 합동대응팀은 "정확한 수사가 필요하지만 사이버테러의 진원지는 여전히 국내가 아닌 해외일 가능성을 높게 보고 있다"며 "해외 침투경로가 사용된 정황이 파악됐다"고 설명했다.
합동대응팀은 진원지 파악에 최소 6개월 이상이 소요될 것으로 예상했다. 해커들이 오랜 기간에 걸쳐 구조를 설계했고 해외 여러 곳을 거쳐 들어왔기 때문에 확인에 장시간이 걸린다는 설명이다. 보안 전문업체인 트랜드마이크로의 김석주 기술지원 팀장도 "해커가 여러 경로를 거치면 이전 IP주소가 지워지기 때문에 진원지를 추적해 들어간다는 것은 기술적으로 불가능에 가깝다"며 "수많은 해킹 중 영원히 미제로 남는 경우가 대부분"이라고 말했다.
한편 금융기관 중 신한은행과 제주은행은 복구를 완료했고 농협은 복구 작업이 진행 중이다. 반면 KBSㆍMBCㆍYTN 등 방송사는 복구율이 10% 수준에 머물고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
