보안 전문가 “KT·다음카카오 IP, 국정원 해킹 증거 안 된다”

[이데일리 김현아 기자] 민간 보안 전문가들은 이탈리아 해킹팀이 KT(030200), 다음카카오(035720), KBS 등 한국 인터넷 주소(IP) 138개에 접속한 흔적만으로 국가정보원이 민간인을 대상으로 대규모 해킹을 했다고 볼 수 없다는 입장을 밝혔다.

지난 19일 신경민 의원(새정치연합 국민정보지키기위원회 진상조사소위원장)의 문제제기로 한국 IP 접속 흔적이 민간인 해킹 증거로 여겨지고, 해당 기업들도 부정적 여론에 촉각을 곤두세우지만, 전문가들은 이는 디도스 공격(DDoS, 분산서비스거부 공격) 메카니즘에 대한 무지에서 비롯됐다고 했다.

“해당 IP는반대로 해킹팀 공격에 활용된 것”

신 의원은 기자회견을 열어 “이탈리아 해킹팀이 자기 마음대로 이런 곳에 접속했을 가능성은 낮고 고객(국정원)의 요청에 따른 것으로 보인다”며 “’해외·북한 정보 수집과 실험·연구용으로만 썼다는 국정원의 해명은 거짓으로 보인다”고 말했다.

2014년 3월 4일 국제 해킹 조직인 어나니머스(@Anon_Otherwise)는 국정원에 해킹 프로그램을 판매한 이탈리아 업체 ‘해킹팀의 도메인(hackingteam.it)’을 해킹으로 접수 했음을 알렸다. 사진은 당시 트위터.

그러나 익명을 요구한 국내 보안 전문업체 A센터장은 “인터넷에 유출된 로그 파일을 살펴봤는데 (야당 주장처럼) 해킹팀이 내국인 해킹을 위해 접속한 게 아니고 지난해 3월 4일 어나니머스가 해킹팀을 해킹했을 때 공격도구로 사용된 IP였다”고 말했다.

A센터장은 2013년 발생한 3.20 사이버테러 주범인 북한 해커조직의 실체를 최초로 공개한 인물로, 국내외 해킹방어대회에서 수차례 수상하기도 했다. 하지만 그는 정치이슈에 휘말린다는 이유로 실명 공개를 거부했다.

A센터장에 따르면 2014년 3월 4일 국제 해킹조직인 어나니머스는 전세계 컴퓨터시스템을 좀비PC로 활용해 해킹팀 도메인(hackingteam.it)에 디도스 공격을 했다.그는 “당시 사용된 컴퓨터 번호(포트)는 123번으로 NTP(네트워크 시간 프로토콜)을 이용해 공격했는데, 이번에 해킹팀 내부 문서 유출로 알려진 IP들은 당시 IP 로그들과 일치한다”고 설명했다.

그가 밝힌 어나니머스의 해킹팀 공격과 한국 IP 활용은 다음과 같은 구조다. 보통의 경우라면 (가)가 (나)에게 택배를 배달하면 (나)는 (가)에게 반품한다. 하지만 (다)라는 해커(어나니머스)가 (가, 해킹팀)에게 물건을 보내면서 (라, 한국의 IP)도 배달하라고 지정하면 (라) 역시 (가)에게 반품하게 된다. A 센터장은 “KT나 다음카카오 등 한국 IP 138개는 해킹팀이 접속한 게 아니라, 어나니머스가 해킹팀을 공격하는데 활용한 IP”라고 말했다.

김승주 고려대 정보보호대학원 교수도 “이번에 공개된 한국 IP 138개는 지난해 어나니머스 해킹때 활용된 것”이라면서 “국정원이 해킹팀에 변호사에 대한 해킹을 의뢰했다는 주장 역시 유출된 이메일을 살펴보면 몽골 경찰이 의뢰한 것을 확인할 수 있다”고 말했다.



▶ 관련기사 ◀
☞KT, 재난용 ‘배낭형 이동기지국’ 개발 나선다
☞KT, 소규모 사업장 위한 고화질 영상보안 서비스 출시
☞KT "11호 태풍 대비 재난 대응체계 돌입"