왜 중국IP로 오인했나

[쿠키 사회] 민·관·군 합동대응팀이 22일 농협 전산망 해킹에 활용된 것으로 의심했던 인터넷주소(IP)에 대한 발표를 하루 만에 번복, 조사 신뢰도에 금이 가고 있다.

합동대응팀은 이날 농협 해킹에 활용된 IP는 중국 IP가 아닌 내부 직원이 사내 정책에 따라 사용하던 사설 IP라고 브리핑했다. 하루 전인 21일 합동대응팀은 “농협 시스템에 대한 분석 결과 중국 IP가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다”고 밝혔고, 이에 따라 과거 중국 IP를 활용한 국내 해킹 사고들과의 유사성 때문에 북한의 소행 가능성에 무게가 실렸다.

합동대응팀이 농협의 내부 사설 IP를 중국IP로 오인한 것은 공인 IP주소와 사설 IP주소의 차이를 간과했기 때문이다. 중복을 피하기 위해 국제인터넷주소관리기구(ICANN)는 나라마다 공인 IP에 대해 대역을 할당한다. 이에 따라 IP주소만 보면 어느 나라에 할당된 IP로 접속했는지 쉽게 알 수 있다. 합동대응팀이 앞서 발표한 IP(101.106.25.105)는 중국이 소유한 IP 대역에 포함돼 있다.

하지만 공인 IP만 이러한 원칙에 따라 운영될 뿐 사설 IP는 다르다. 일반적으로 기업들은 사내 망(인트라넷)에서 기기별로 임의의 숫자를 사용한 사설 IP주소를 부여한다. 사내에서만 쓰는 주소인 까닭에 외부의 다른 IP주소와 겹쳐도 문제가 생기지 않는다.

이재일 한국인터넷진흥원 인터넷침해대응팀 본부장은 “농협이 내부에서 접속해 사용한 사설 IP가 중국 IP와 같은 형태를 보인 건 우연의 일치”라고 설명했다. 이 본부장은 “이 사설 IP가 해킹의 경유지로 악용됐을 가능성을 염두에 두고 경찰 등 관계기관이 하드디스크를 입수해 정밀 분석 중”이라고 말했다.

사설 IP 가능성은 합동대응팀의 브리핑이 끝난 지 반나절 만인 21일 오후 6시쯤 처음 제기됐다. 정부는 이를 놓고 22일 새벽까지 재차 분석 자료에 대한 확인을 거듭해 이날 오후 발표 내용을 번복했다. 전산망 사고 분석 결과 발표가 너무 성급했다는 지적이 나오는 것도 이 때문이다.

중국 정부는 우리 측 발표에 대해 “다른 나라의 IP를 이용하는 것은 해커들의 통상적인 수법”이라며 자국과의 관련성을 부인하며 불편한 심기를 드러냈다. 성급한 조사결과 발표가 자칫 외교적 마찰을 일으킬 수 있었던 상황까지 이르렀던 셈이다.

현재로선 이번 사고의 진원지가 오리무중이다. 북한 소행 가능성도 전보다 낮아졌다. 합동대응팀은 “농협 이외의 다른 피해 회사 채증 자료에서 해외 IP로 접속된 기록이 나오고 있다”며 “추가조사가 필요하다”는 입장을 내놓았다.

국민일보 쿠키뉴스 홍해인 기자 hihong@kmib.co.kr 기사모아보기