![[오늘의 운세] 5월 15일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202405/15/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
이달 20일 방송·금융 6개사 전산망을 파괴한 악성코드가 중국을 거쳐 왔다는 정부의 발표는 엉터리였다.
방송통신위원회와 경찰청·한국인터넷진흥원(KISA) 등으로 구성된 민·관·군 합동대응팀은 “지난 21일 농협 해킹에 활용된 것으로 발표했던 인터넷주소(IP)는 중국이 아니라 농협 안에서 쓰던 것으로 확인됐다”고 22일 밝혔다. 국제인터넷규약에 따르면 국가별로 쓸 수 있는 IP가 정해져 있다. 그래서 해킹을 당한 농협 서버를 중국 IP(101.106.25.105)에서 접속한 것으로 나오자 해커가 중국을 통해 들어온 것으로 발표한 것이다. 실제로는 농협이 인트라넷용으로 부여한 가상 IP였다. 익명을 요청한 보안 관계자는 “은행과 방송사의 전산망이 동시다발적으로 타격받는 ‘사이버 전쟁’의 와중에 총알이 어디서 날아오는지도 모르면서 엉뚱한 방향으로 내달린 셈”이라며 “IP 추적은 해커를 찾아내는 가장 첫 단계인데, 실제 주소인지 가상 주소인지조차 확인하지 않는 초보적인 실수를 저지른 것이 이해가 되지 않는다”고 말했다.
이 같은 정부의 ‘헛발질’ 탓에 실제로 북한 해커가 중국 서버를 거쳤다는 것을 밝혀내도 신뢰도가 손상될 수밖에 없다. 정부는 여전히 해외 서버를 경유한 북한의 소행이라는 심증을 갖고 있다. 합동대응팀은 6개 기관 공격에 동원된 기법이나 악성코드의 유사성이 높아 여전히 동일 그룹의 소행이라는 입장이다. KISA의 이재일 인터넷침해대응센터 본부장은 “농협과 함께 해킹을 당한 MBC·YTN·신한은행의 PC를 조사한 결과 해외에서 접속한 것으로 의심되는 IP를 찾아냈다”고 밝혔다. 다만 구체적인 해외 IP가 알려질 경우 해당국의 항의와 함께 수사가 어려워질 수 있어 국가명을 밝히지 않기로 했다고 설명했다.
이 본부장은 “농협의 업데이트 관리서버를 공략한 PC가 중국이 아닌 농협 내부 것이라고 해서 농협 직원이나 국내인이 해커라는 의미는 아니다”며 “해킹 전에 해당 PC에 접속한 IP가 해외인지 국내인지 확인하기 위해 로그(서버 접속기록) 분석을 해나갈 것”이라고 말했다. 그러나 해커의 정체를 입증하는 것은 쉽지 않을 전망이다. 해커 출신의 보안전문가인 박찬암 라온시큐어 팀장은 “국내 서버를 대상으로 한 해킹의 대부분은 중국 IP를 통해 들어온다”며 “IP 주소를 밝혀내도 중국 현지에서 해커들이 접속 기록을 변조하거나 PC를 폐기시켜 버리면 더 이상 증거를 찾는 게 불가능해진다”고 말했다.
한편 합동대응팀은 이날 “신한은행과 제주은행은 복구를 완료해 정상화됐고 농협은 복구작업이 진행 중”이라며 “다만 다수의 PC가 피해를 본 방송사들의 복구율이 10% 수준에 그치고 있다”고 설명했다. 정부는 추가 해킹 피해를 예방하기 위해 국무총리실 주재로 정보통신 기반보호위원회를 구성, 이날 오후 3시부터 전력·교통 관련 139개 기관과 209개 시설에 대한 사이버침해사고 대응체계 점검에 나섰다. 실제로 금융·방송사가 공격을 받았던 20일을 전후해 조선일보 전산망에 대한 공격도 있었던 것으로 확인됐다.
심재우·고란 기자
