[서울파이낸스 나민수기자] 지난 20일 국내 주요 방송·금융기관의 전산망을 마비시킨 악성코드는 중국이 아니라 국내 농협IP를 통해 전파된 것으로 나타났다.
22일 정부 합동대응팀에 따르면 해킹을 유발한 악성코드는 당초 정부 발표와 달리 중국IP가 아닌 농협 내부의 컴퓨터에서 전파됐다. 농협 측이 내부용으로 사설IP를 만들어 사용하고 있었는데 이것이 우연히 중국IP와 일치했다는 게 대응팀의 설명이다.
이는 조사에 참여했던 실무자가 농협의 피해 컴퓨터를 분석하는 과정에서 농협의 사설IP를 발견하고 이것을 국제공인 중국IP로 오인하면서 혼선이 빚어진 것이다.
IP주소는 인터넷규약주소를 뜻하는 것으로 중복되면 안 되기 때문에 국제인터넷주소관리기구(ICANN)가 나라별로 대역을 할당한다. 이에 따라 IP주소만 보면 해당 기기가 정확히 어디에 있는지는 몰라도 어느 나라에 있는지는 쉽게 알 수 있다.
문제는 공인 IP주소와 달리 사설IP는 사내에서 쓰이는 주소이므로 외부의 다른 IP주소와 겹쳐도 문제되지 않는다는 점이다.
대응팀이 농협 시스템에서 발견했다고 밝힌 101.106.25.105는 중국이 소유한 IP주소 대역에 속한다. 때문에 대응팀이 이번 해킹을 중국발 공격이라고 단정한 것이다.
정부 합동대응팀 관계자는 "현재 모든 가능성을 열어두고 악성코드 추적경로를 파악, 공격주체를 파악하고 있다"며 "동일 조직이 공격한 것은 확실하지만 아직 구체적인 공격주체는 확인하지 못했다"고 말했다.
현재 경찰청은 관련 PC의 하드디스크를 추가 확보해 정밀분석 중이며, 정확한 공격경로를 파악하기 위해 해커의 모든 가능한 침투경로 등을 고려하여 다각적인 분석을 진행하고 있다.
정부는 6개 기관별로 사용된 공격기법 및 악성코드의 유사성 높아 동일 그룹 소행 가능성 높으며 해외 침투 경로가 사용된 정황이 파악됐기 때문에 해외 유관기관과의 협력 통해 대응 추진할 계획이라고 밝혔다.
한편, 사고 후 사흘째인 이날 KBS·MBC·YTN은 약 10% 수준의 복구율을 보이고 있고 금융기관 중 신한은행, 제주은행은 복구를 완료했다. 하지만 농협의 경우 아직도 복구 작업이 진행 중이다.
