‘악성코드 中 아닌 국내서 전파’ 방통위 일문일답

지난 20일 방송·금융사 전산 마비를 일으킨 악성코드는 중국 IP(인터넷 프로토콜)가 아닌 국내 IP에서 생성된 것으로 드러났다.

민·관·군 합동대응팀은 22일 브리핑에서 "이번 사이버 공격에 활용된 것으로 추정된 중국 IP는 농협 내부직원이 사용하는 사설 IP인 것으로 확인됐다"며 악성코드가 중국 IP에서 비롯했다는 발표를 하루 만에 번복했다.

다음은 이승원 방송통신위원회 네트워크정보보호팀장, 이재일 한국인터넷진흥원(KISA) 인터넷침해대응센터 본부장과의 일문일답.

-- 사설 IP란 무엇인가.

▲ 국제기구가 공식적으로 할당하는 공인 IP가 아닌 기업이 내부용 망에서 사용하는 IP다. 원래는 사설 IP에 관한 국제 기준이 있는데, 농협은 이 기준을 따르지 않았다. 그래서 우연히 중국에 할당된 실제 공인 IP와 농협이 만든 사설 IP가 일치했다. 국제기준은 권고사항이라 농협이 불법을 저지른 것은 아니다. 공인 IP가 부족한 편이라 많은 기업이 사설 IP를 쓰고 있다.

-- 해킹에 사용된 IP가 중국 IP가 아니라는 것인가.

▲ 중국 IP가 아니다. 농협 사설 IP가 해킹의 경유지로 악용됐을 가능성이 있다. 경찰 등이 하드디스크를 입수해서 조사하고 있다.

-- 해커가 농협 업데이트 관리서버(PMS)에 악성코드를 심은 시기는.

▲사건이 발생한 날(20일) 전산 마비가 일어나기 전이다.

-- 이 IP를 조사하는 이유는.

▲ 악성코드를 유포한 것으로 보이는 PMS에 해당 IP가 사건 발생 시간대에 접속한 것으로 나타났다. 농협 PMS에 접속한 다른 해외 IP는 없었다.

-- 지금까지 파악된 해커 침투 경로는.

▲ 해외인 것은 맞다. 더 많은 정보를 공개하면 수사에 어려움이 있어 말하기 곤란하다.

-- 해킹 근원지를 해외로 보는 이유는.

▲ 농협은 사내 IP에서 해커가 접근한 것으로 확인됐지만, 농협이 아닌 다른 피해기관에서는 해외 유입 IP가 있는 것으로 조사됐다.

-- 북한 소행으로 추정하는 근거인 '중국 IP'는 증거에서 없어졌나.

▲ 맞다, 틀리다를 말하기 어렵다. 어제 중국 IP라고 발표하면서 다양한 가능성 열고 있고 확실한 증거는 없다고 했다.

-- 해외 어디인지 말해달라.

▲ IP를 공개하면 상대방이 알고 범죄 흔적을 정리하기 때문에 안 된다. 어제 중국이 항의했듯이 상대국의 항의를 유발할 수 있다.

-- 공격 악성코드가 14종이라고 한다. 변종이 많이 생긴 것인가.

▲ 이름이 다르거나, 패턴이 약간 다른 것들이다.

-- 공격 주체는 다시 미궁인가.

▲ 해커는 경유지를 여러 곳 들르기 때문에 찾기가 쉽지 않다.

-- 발표 혼선 이유는.

▲ 어제는 국민에게 가급적 자세한 정보를 말하는 것이 좋다고 생각했다. 실무조사팀이 중국 IP로 확인했다고 보고한 것을 2차, 3차로 점검했어야 했는데 그런 노력에 소홀했다. 이제는 확실한 증거가 나오면 발표하겠다.

-- 농협의 사설 IP는 어떤 용도인가.

▲ 서버관리 권한을 가진 PC는 아니고 PMS에 연결된 PC다. 일반 직원이 쓰던 PC가 (악성코드 등에) 감염돼 서버 관리권한이 유출, PMS를 오염시킨 것으로 추정하고 조사하고 있다.

-- 국내가 해킹 근원지일 수도 있나.

▲ 모든 가능성이 다 열려있지만, 통상적으로는 그런 사례가 없다.

-- 조사에 얼마나 걸리나.

▲ 2009년 7·7 디도스, 2011년 3·4 디도스, 농협 해킹 등 규모의 사건에서는 6개월 이상 걸린다.

-- 조사 내용 번복 과정을 설명하라.

▲ 사건 다음 날(21일) 새벽 중국 IP 내용을 보고 받고 같은 날 오전 10시 언론에 브리핑했다. 그날 오후 6시께 중국 IP가 아닐 가능성이 있다는 보고를 받고 밤새 확인했다. 반복 점검 끝에 얼마 전(오후 3시께) 최종 확인했고, `정부가 숨기고 있다는 오해를 받을 수 있으니 국민에게 빨리 사실을 알리라'는 이계철 방통위원장의 지시로 이날 오후 3시30분 긴급 브리핑을 하게 됐다.