기본 검증 없는 성급한 발표 "비판받아 마땅"
[KNS뉴스통신=김학형 기자] 지난 20일 국내 방송사와 금융기관의 전산망을 마비시켰던 악성코드가 기존 유입 경로로 지목됐던 중국 인터넷주소(IP)가 아닌 국내 IP를 통해 유입된 것으로 드러났다.
22일 방송통신위원회는 “이번 해킹 공격에 활용된 것으로 추정했던 중국 IP는 농협이 국내에서 사용하는 사설 IP를 오인한 것”으로 “철저한 확인 없이 발표하다 빚어진 실수로 중국 IP에서 악성코드가 유입됐다는 전날 발표는 취소한다”고 전했다.
농협 내부 직원이 중국 IP(101.106.25.105)와 동일한 숫자로 이뤄진 사설IP를 만들어 사용하고 있는 것을 발견했는데, 대응팀이 이를 발견하고 중국 IP로 단정하고 성급히 발표했다는 것이 대응팀의 설명이다.
사설 IP는 기업 등이 사내 인터넷망 구축용으로 사용하는 임의의 주소를 말하며, 국제기구가 공식적으로 할당하는 공인 IP와 다르다. 농협이 사설 IP에 대한 국제 기준을 따르지 않았고 우연하게도 중국에 할당된 공인 IP와 농협이 만든 사설 IP가 일치한 것.
보안업체 관계자는 “국제기준은 권고사항이라 농협이 불법을 저지른 것은 아니며, 공인 IP가 부족한 탓에 많은 기업들이 사설 IP를 사용하고 있다”면서 “이를 모를 리 없는 정부 대응팀에서 기본적인 확인 과정도 거치지 않은 채 성급히 발표한 점은 비판받아 마땅하며 국제적으로도 부끄러운 수준”이라고 말했다.
전날 방통위는 “중국 IP에서 농협의 업데이트 관리 서버에 접속해 악성파일을 생성한 점을 확인했다”고 밝힌 바 있다. 이를 근거로 청와대와 일부 언론은 “중국 인터넷주소가 해커의 경유지로 사용된 점으로 볼 때 북한의 소행인 것으로 추정된다”는 잘못된 분석을 내놓기도 했다.
이날 방통위 관계자는 “중국 IP라고 발표하면서 다양한 가능성을 열어두겠다고 했으며 북한의 소행으로 추정된다는 언급은 하지 않았다”라며 “앞으로는 2차, 3차 확인을 거친 사실만 발표하겠다”고 말했다.
결국 이번 해킹의 최초 공격지점이나 공격 주체 등은 여전히 밝히지 못한 채 동일 조직이란 점과 악성코드 감염 경로가 단일 루트가 아니란 정도만이 확인된 상황이다. 따라서 조사가 끝나려면 수개월 이상 걸릴 것으로 전망된다.
김학형 기자 khh@kns.tv
