[한경닷컴] 3차 해킹까지 예고하며 ‘해킹대란’을 일으킨 공격자의 인터넷 주소가 미국 IP인 것으로 나타났다.국내 보안전문업체 쉬프트웍스의 홍민표 대표와 이대로 연구원은 9일 14시간 가량 직접 분석한 악성코드의 유포지가 미국 IP(75.151.XXX.XXX)라고 밝혔다.국가정보원과 미 정부당국이 북한 IP로 추정된다고 발표한 것에 반하는 새로운 가능성이 제기된 셈이다.

홍 대표는 “악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려있는 미국 인터넷주소의 가상서버였다”며 “그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성코드 유포는 막을 수 있다”고 말했다.

이미 그 서버에 접속해 좀비PC가 된 경우에는 예정된 대로 3차 해킹공격에 이용당하지만 앞으로의 피해는 줄일 수 있다는 설명이다.공격자가 누구인지에 대해선 “누군진 알 수 없지만 서버를 찾기도 까다롭게 해놓고 서버에 접속한 로그기록을 전부 지운 걸 보면 아주 수준급의 실력자일 것”이라고 했다.

북한으로 추정하고 있다는 보도에 대해 홍 대표는 “북한의 경우 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다”며 “그렇지 않다 하더라도 이런 대규모 공격을 할 땐 IP를 세탁하기 때문에 북한 IP인지 알아채기 어렵다”고 반박했다.또 국정원이나 미 정부당국에서 북한 IP라는 근거자료를 내놓지 않는 것도 의심된다고 덧붙였다.

이들 분석에 따르면 악성코드의 파일 안에는 ‘독립기념일을 기리며(Memory of the Independence Day)’라는 문구가 명확히 담겨 있다.악성코드가 유포되는 경로에 대해선 감염 사이트에서 자동으로 다운 로드되거나 ‘Memory of the Independence Day’라는 제목의 영문메일을 열어보는 경우 등이다.홍 대표는 “무엇보다 이미 악성코드에 감염된 PC 사용자들이 빨리 삭제프로그램으로 지워야 한다”며 “MS 윈도 취약점을 이용한 제로데이 공격인만큼 윈도 패치가 빨리 나오는 것도 중요하다”고 지적했다.삭제 프로그램은 와우해커(www.wowhacker.com) 안철수연구소(kr.ahnlab.com) 등에서 무료로 내려받을 수 있다.

민지혜 기자 spop@hankyung.com