3차 DDoS(분산서비스거부) 공격까지 예고하며 한국과 미국의 인터넷 사이트를 교란하고 있는 공격자가 미국 뉴저지주 마운트 로렐시에 서버를 둔 것으로 확인됐다. 이는 미국인이 공격했다는 의미는 아니지만 적어도 서버의 위치를 확인해 공격자를 찾아낼 단서를 발견했다는 의미다.

국내 보안전문업체 쉬프트웍스의 홍민표 대표는 9일 한국경제신문과 가진 단독 인터뷰에서 "연구원들과 함께 14시간에 걸쳐 악성코드를 분석한 결과 악성코드의 최초 유포지가 미국 뉴저지주에 소재를 둔 IP(75.151.x x x.x x x)라는 사실을 밝혀냈다"고 말했다.

홍 대표는 "악성코드 유포 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 IP의 서버가 나왔다"며 "서버의 시계도 한국보다 13시간 늦은 미국 동부의 현지시간에 맞춰져 있었다"고 설명했다. 위장 IP 가능성 여부를 묻는 기자의 질문에 홍 대표는 "가상 IP가 있긴 했지만 서버의 소재를 알려주는 진짜 IP는 미국 주소가 확실하다"고 단언했다.

이 같은 분석은 공격자의 인터넷 주소가 북한으로 확인돼 배후가 북한으로 추정된다는 미국 정부 측 주장과 다른 것이어서 주목된다. AP통신은 지난 8일 익명을 요구한 미국 정부 관계자 3명의 말을 인용,사이버 공격을 한 인터넷 주소를 추적해 보니 북한으로 드러났다고 보도했다. 하지만 정확한 IP 주소를 밝히지는 않았다.

홍 대표는 이 같은 보도에 대해 "북한의 경우 외부 인터넷을 이용할 때 주로 중국 IP를 사용하는 것으로 안다"며 "문제의 공격자가 국정원 관측대로 북한 또는 종북세력일지는 몰라도 IP 주소가 북한이라는 주장에는 동의하기 어렵다"고 말했다. 실제 북한은 ICANN(국제인터넷주소관리기구)으로부터 지역별 IP 주소를 부여받지 못하고 있는 상황이기 때문에 추적 자체가 안 된다는 게 많은 전문가들의 의견이다. 다만 중국 ISP(인터넷서비스제공자) 업체들인 베이징네트워크와 차이나텔레콤으로부터 인터넷 서비스를 받고 있는 것으로 전해졌다.

IP 주소가 미국이냐 북한이냐는 공격자의 신원을 밝히는 결정적 단서는 아니지만 정보당국이 수사의 실마리를 풀어나가는 출발점이 된다는 측면에서 향후 상당한 관심을 모을 것으로 보인다.

민지혜 기자/워싱턴=김홍열 특파원 spop@hankyung.com