"해커추적 원점으로"…농협해킹 최종 경유지는 내부IP(종합2보)

(서울=연합뉴스) 이정내 기자 = 지난 20일 국내 주요 방송·금융기관의 전산망을 마비시킨 일부 악성코드는 중국이 아니라 국내 컴퓨터를 통해 최종 전파된 것으로 확인됐다.

22일 정부 합동대응팀에 따르면 농협 전산망 해킹을 유발한 악성코드는 당초 정부 발표와 달리 중국IP가 아닌 농협 내부의 컴퓨터를 거쳐 최종 전파된 것으로 조사결과 드러났다.

농협시스템을 분석한 결과 중국 IP(101.106.25.105)가 백신 소프트웨어(SW)배포 관리 서버에 접속, 악성파일을 생성했음을 확인했다는 방통위의 전날 발표가 하루만에 뒤집어진 것이다.

방통위는 "농협 내부 직원이 중국IP(101.106.25.105)와 동일한 숫자로 이뤄진 사설IP를 만들어 사용하고 있었는데 대응팀이 이 사설IP를 발견하고 중국IP로 오인했다"고 설명했다.

합동대응팀에 참여했던 실무자가 농협의 피해 컴퓨터를 분석하는 과정에서 농협의 사설IP를 국제공인 중국IP로 오인하는 실수를 범한 것이라는 얘기다.

합동대응팀은 지난 21일 오후 농협내에서 중국IP와 동일한 IP를 쓰고 있다는 제보를 받고 곧바로 정밀분석을 벌인 결과 중국IP와 동일한 농협의 사설IP를 확인하고 이 사설IP에서 악성코드가 생성된 것을 밝혀냈다.

이 같은 사실은 농협의 전산망을 마비시킨 마지막 단계의 컴퓨터가 중국이 아니고 농협 내부에 있었다는 것을 의미할 뿐 이번 해킹의 최초 공격지점이나 공격주체를 밝혀주지는 못한다. 농협 측 컴퓨터도 해킹의 여러 경유지의 하나로 활용된 것이기 때문이다.

이에 따라 합동대응팀의 악성코드 침투경로 추적이 다시 원점으로 돌아간 것으로 보인다. 주로 중국의 인터넷을 경유하는 북한의 소행일 수 있다는 추정도 일단 힘을 잃게 됐다.

최종 해킹 경유지가 바뀐 농협 뿐 아니라 KBS, MBC, YTN[040300]과 신한은행, 제주은행[006220]의 해킹 경로는 아직 미궁에 빠져있다.

방통위는 농협이 아닌 다른 피해기관에서 해외IP가 발견됐다는 것 외에는 구체적인 내용을 밝히지 않았다.

합동대응팀은 해킹 경로 규명을 위해 3개 기관(MBC, 신한은행, 농협)을 공격한 14종의 악성코드를 채증, 추가로 분석했으며 3개 기관(MBC, YTN, 신한은행)의 피해시스템 하드디스크 이미지를 확보, 분석하고 있다.

방통위는 21일 오후 이 같은 사실을 이계철 위원장에게 보고하고 대책을 논의한 것으로 알려졌다.

정부 합동대응팀 관계자는 "현재 모든 가능성을 열어두고 악성코드 경로 추적과 공격주체 파악에 주력하고 있다"면서 "동일 조직이 공격한 것은 확실하지만 아직 구체적인 공격주체는 확인하지 못했다"고 밝혔다.

한편 지난 20일 이후 주요 방송·금융기관의 전산마비 사태이후 추가적인 피해신고는 없다고 방통위는 밝혔다.

또 신한은행과 제주은행은 복구를 완료했고 농협은 복구작업중이며 KBS, MBC, YTN은 10%의 복구율을 보이고 있다.

정부는 피해기관의 PC 복구 지원을 위해 피해 PC의 삭제자료 복구기능을 탑재한 전용 프로그램을 개발하고, 피해기관의 요청이 있을 경우 적극 지원에 나설 계획이다.

jnlee@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2013/03/22 17:26 송고