지난 20일 국내 주요 방송사와 은행의 전산망을 파괴한 악성코드가 중국에서 유입됐다는 ‘정부 발표’(21일)는 엉터리였다. 민·관·군 합동대응팀은 농협 직원이 쓰고 있는 사설 IP(인터넷 프로토콜) 주소를 중국 IP로 잘못 알고 발표했다.

이에 따라 북한이 중국을 경유지로 해서 한국 주요 시설의 전산망을 공격했을 것이라는 추론은 일단 근거를 잃게 됐다. 그러나 악성코드가 유포된 IP가 국내에서 발견됐다고 해서 북한 소행이 아니라고 말할 수도 없다.

◆정부 발표는 엉터리

20일 오후 2시20분께 발생한 사이버테러 해킹을 유발한 악성코드가 ‘중국에서 유입됐다’는 정부 합동대응팀의 발표와 달리 악성코드는 농협 내부 컴퓨터를 통해 전파된 것으로 나타났다. 농협 내부 직원이 중국 IP(101.106.25.105)와 동일한 숫자로 이뤄진 사설 IP를 만들어 사용하고 있었는데, 합동대응팀 조사 실무자가 농협의 피해 컴퓨터를 분석하는 과정에서 사설 IP를 중국 국제공인 IP로 착각했다는 것이다.

◆초보적인 사실 무시

합동대응팀이 농협의 내부 IP를 중국 IP로 잘못 안 것은 ‘사설 IP가 국제공인 IP와 같을 수도 있다’는 아주 초보적인 사실을 무시했기 때문에 생겼다. 국제공인 IP는 인터넷에 연결되는 컴퓨터 한 대당 하나씩 부여되는 것이 원칙이다.

그러나 특정 기관이나 회사가 내부에서 사적으로 쓰는 IP는 국제공인 규정을 따르지 않기 때문에 겹치는 문제가 생길 수 있다. 농협은 국제인터넷주소관리기구(ICANN)가 사설 IP로 사용하도록 권장한 범위 내 주소를 쓰지 않고 중국 IP(101.106.25.105)와 같은 주소를 임의로 만들어 썼다. 농협은 “직원들이 쓰는 컴퓨터가 많아 사설 IP 범위 내 주소가 모자랐다”고 해명했다.

합동대응팀은 22일 농협의 사설 IP가 중국 국제공인 IP와 동일하다는 내부 제보를 받고 다시 기록을 정밀 검증한 결과 유포지가 중국이 아닌 농협이라는 것을 알아냈다.

◆북한 소행 배제 못해

농협 내부 컴퓨터에서 악성코드가 유포됐다는 것은 정부 합동대응팀이 아직까지도 진원지를 찾지 못했다는 얘기다. 농협 내부에서 발생한 사이버테러의 첫 컴퓨터를 찾아낸 것뿐이다. 농협 컴퓨터에서 시작해 KBS 등 방송사나 신한은행 등으로 전파됐다고 보기도 어렵다. 경로를 더 조사하면 중국이라고 나올 수도 있다.

정부 합동대응팀 관계자는 “동일 조직이 공격한 것은 확실하지만 구체적인 공격 주체를 확인하지는 못했다”고 말했다.

■ 인터넷 프로토콜(IP)

컴퓨터가 인터넷에 연결될 수 있도록 할당한 12자리 숫자. 공인 IP는 외부 인터넷망을 사용하기 위해 각 컴퓨터에 고유하게 할당한 번호이고, 사설 IP는 기업 내부망(인트라넷)에서 사용하기 위한 번호로 사내에서 고유하게 할당한다. 사설 IP는 다른 기업의 사설 IP나 공인 IP와 겹칠 수 있다.

김보영/전설리 기자 wing@hankyung.com