보안전문가 "접속 흔적에 불과"…야당·국정원 주장 모두 근거 부족

국가정보원 해킹 의혹과 관련해 이탈리아 보안업체 해킹팀의 유출된 로그파일에서 발견된 국내 IP 주소가 새로운 쟁점으로 떠오르는 모양새다.

새정치민주연합은 해외·북한 정보 수집용이나 실험·연구용으로만 썼다는 국정원의 해명이 거짓이라는 증거라고 공세를 펴는 반면 국정원은 해킹팀사(社)를 대상으로 한 디도스 공격의 흔적으로 추정된다며 자신과는 무관하다는 입장이다.

IP란 인터넷 프로토콜(Internet Protocol)의 약자로 정보기기를 이용해 인터넷에 연결할 때 네트워크 프로그램에 꼭 입력해야 하는 일종의 사이버상 주소를 뜻한다.

인터넷을 사용하는 모든 기기는 인터넷 서비스 업체로부터 IP를 발급받아야 한다.

로그(log)파일은 기기나 네트워크의 처리 내용이나 이용 상황을 시간의 흐름에 따라 모두 기록한 파일을 말한다.

정상적인 사용자이든 해커이든 관계없이 해당 기기나 네트워크에서 벌인 모든 행적이 기록으로 남는다.

따라서 해킹팀의 로그파일에 국내 IP 주소가 포함됐다는 것은 한국에 있는 특정 IP의 기기에서 해킹팀 웹사이트에 접속한 흔적이 남았다는 말이 된다.

이를 근거로 새정치연합은 해킹팀이 침입 의도를 가지고 로그파일에 담긴 국내 IP 주소의 취약점을 검사하거나 검색한 것이라고 주장하고 있다.

새정치연합에 따르면 해당 로그파일에서 한국 IP는 총 138개 발견됐고, IP 할당기관으로는 KT, 서울대, 한국방송공사 등 공공기관과 다음카카오 등 일반기업이 있었다.

해킹팀이 자체적으로 이러한 국내 기관에 관심을 둘 가능성은 작고, 현재로서는 해킹팀의 한국 고객이 국정원이 유일하기 때문에 국정원의 의뢰를 받은 해킹팀이 특정 IP 주소를 사용하는 국내 기관을 공격하려 했다는 논리다.

반면 국정원은 해당 로그파일이 디도스(DDos; 분산서비스거부) 공격을 막기 위해 해킹팀의 방화벽이 작동한 기록이라고 주장하고 있다.

디도스란 수백만대의 PC를 원격조종해 특정 웹사이트에 동시에 접속시켜 단시간 내에 과도한 트래픽을 일으키고 사이트를 마비시키는 공격을 말한다.

동시 접속에는 공격자가 국가나 지역에 상관없이 이메일 등으로 바이러스나 악성코드를 유포해 감염시킨 이른바 '좀비PC'가 이용되는데, 공격자의 C&C(명령&제어) 서버와 지속적으로 통신하면서 원격으로 조정 당하게 된다.

해킹팀의 로그파일에는 한국 IP 주소 138개를 포함해 전 세계 약 70개국의 인터넷 IP 주소 4만4천718건이 함께 남아있는 것으로 파악됐다.

이는 우리나라뿐만 아니라 전 세계 70개국에서 동시다발적으로 해킹팀에 접속한 증거이므로 디도스 공격의 흔적이며, 한국 IP는 다른 외국 IP와 마찬가지로 해킹과 무관하게 좀비PC로 이용당했을 뿐이라는 게 국정원의 주장이다.

이처럼 새정치연합과 국정원이 서로 다른 주장을 펴는 가운데 양쪽 주장 모두 사실상 근거가 부족하며, 어느 쪽 주장이 맞는지를 확인할 방법이 없다는 것이 보안 전문가들의 판단이다.

한 보안 전문가는 20일 "사실 로그파일은 해당 서버에 접속했다는 것 이상의 의미가 있지 않기 때문에 이것만 가지고 해킹 시도인지 방화벽 작동인지를 따지는 것은 불가능하다"며 "로그파일의 실제 샘플을 확보해 분석해야 알 수 있는 내용"이라고 말했다.

해킹팀이 해킹을 당하는 과정에서 로그파일의 실제 샘플이 유출됐을 가능성에 대해서는 "보통 (공격자가) 로그파일까지 빼가지는 않기 때문에 확인이 불가능할 것"이라고 덧붙였다.

이 전문가는 또 "일반적으로 공격자가 해킹할 때에는 최종 목적지에 가기 전 여러 IP를 경유해 자신의 위치를 숨긴다"며 "설령 국내 IP에서 해킹이 이뤄졌다고 해도 공격의 진원지를 찾는 것은 거의 불가능한 일"이라고 설명했다.

그는 아울러 "보통 방화벽은 누군가가 서버에 침투하려고 할 때 막아내는 기능이지만 디도스는 침투하는 것이 아니라 아예 서버를 무너뜨리는 것이기 때문에 둘 사이에 완전한 연관관계가 있다고 보기도 어렵다"며 국정원의 주장 역시 미흡하다고 지적했다.

(서울연합뉴스) 윤보람 기자 bryoon@yna.co.kr