해킹 IP는 중국발 아닌 농협 내부망

한국방송(KBS), 문화방송(MBC), 와이티엔(YTN) 등 주요 방송사를 비롯해 신한은행 등 일부 회사의 전산망을 20일 마비시킨 것으로 추정되는 정체불명의 해커 집단인 ‘후이즈’ 팀이 남긴 흔적의 그림. 이 그림은 방송사나 은행에는 남아 있지 않았지만 인터넷망을 통해 회사 서버가 해킹당해 이것에 연결된 컴퓨터가 마비되면서 남긴 그림이다. 이들은 자신들이 전산망을 마비시켰다고 주장했다. 인터넷 화면 갈무리

합동대응팀 기존 발표 번복
“우연히 중국 IP와 같아 오해”

20일 오후 방송사·금융기관 전산망을 마비시킨 해킹 과정에 사용된 것으로 발표된 중국발 아이피(IP·인터넷주소)가 실제는 국내 기업에서 사용하는 아이피로 확인됐다. 중국발 아이피를 근거로 해킹이 북한 소행임을 기정사실화한 보도가 쏟아져 나온 터라, 번복 발표를 두고 ‘황당하다’는 반응이 나오고 있다.

민·관·군 사이버위기 합동대응팀은 22일 오후 서울 광화문 방송통신위원회에서 브리핑을 열어 “농협 해킹에 활용된 것으로 추정됐던 중국 아이피의 사용 현황과 피해 서버 접속기록 등을 정밀 분석한 결과, 내부 직원이 사내 정책에 따라 사설 아이피로 사용하고 있는 것으로 확인됐다”고 밝혔다. 앞서 합동대응팀은 21일 브리핑에서 농협 해킹 과정에서 중국 아이피(101.106.25.105)가 업데이트 관리 서버(PMS)에 접속해 악성파일을 생성한 사실을 확인했다고 발표했다.

대응팀은 “기업에서 비용 등 문제로 내부망에 접속해 있는 피시에 임의(사설)로 아이피 번호를 부여하고 사용하는 경우가 적지 않다. 농협이 이 컴퓨터에 부여한 사설 아이피 번호가, 우연히 중국에 부여된 공인 아이피 번호와 같았다”고 설명했다. 농협 내부의 사설 아이피 번호를 공인 아이피로 오해했다는 얘기다. 해당 피시는 해커들 공격에 동원된 것일 가능성이 커 경찰청에서 하드디스크를 정밀 분석하고 있다.

대응팀은 “중국 것이라고 발표한 아이피는 국내 것으로 확인됐지만, 그 외에 해외 것으로 추정되는 아이피 여럿을 발견해 분석중”이라고 밝혔다. 대응팀은 해당 아이피 번호가 어느 나라에 할당된 것인지는 밝히지 않았다. 방송통신위원회 이승원 네트워크정보보호과장은 “실무진에서 해킹에 사용된 아이피 번호가 중국(에 할당된) 아이피라는 1차 보고를 해왔는데, 재차 확인을 안 하고 발표해 혼선을 불러일으켰다. 이런 혼선을 반복하지 않기 위해 앞으로는 2차, 3차 크로스체크된 사안만 발표하겠다”고 말했다.

합동대응팀은 이날 브리핑에서 “피해 금융기관 중 신한은행과 제주은행은 복구가 완료됐고, 농협은 복구작업을 진행중이다. 한국방송(KBS)·문화방송(MBC)·와이티엔(YTN)은 약 10% 수준의 복구율을 보이고 있다”고 설명했다. 대응팀은 24시간 비상 분석체계를 갖추고 피해기관에서 총 14종의 악성코드를 채증해 추가 분석중이라고 덧붙였다.

이순혁 기자 hyuk@hani.co.kr

<한겨레 인기기사>

■ ‘박근혜 수첩 인사’가 빚은 ‘데스노트 참사’
■ 영훈국제중 전 교장 “학부모 대부분 중증 질병 환자”
■ ‘성접대 의혹’ 윤씨 대가로 뭘 받았나?
■ “선생님 살고싶어요” 판자촌 소년 누가 죽였나
■ 아들이 맞았다, 성난 아빠가 학교로 돌진…그런데…