정부 해킹대응체계 '우왕좌왕'..국내IP, 中IP로 착각

[이데일리 정병묵 기자] 정부 당국이 사상 초유의 방송사 및 금융사 해킹 사건의 주요 원인으로 밝힌 사실을 하루 만에 뒤집으며 우왕좌왕하고 있다.

방송통신위원회는 22일 오후 3시30분 긴급 브리핑을 통해 “농협 해킹에 활용됐다고 발표했던 중국IP(101.106.25.105)를 정밀 분석한 결과, 농협 직원이 사내 정책에 따라 사설IP로 사용하고 있는 것으로 확인됐다”고 밝혔다.

방통위는 21일 KBS, MBC, YTN, 신한은행(055550), 농협, 제주은행 등 6개 기관 중 농협을 해킹한 IP가 중국발이라고 밝힌 바 있다.

그러나 민·관·군 합동조사반의 조사 결과 이는 농협의 사설IP를 중국IP로 오인했던 것으로 드러났다. 농협이 IP 부족으로 쓴 사설IP가 중국IP와 겹쳤고 이를 착각했던 것이다.

이재일 한국인터넷진흥원 본부장은 “그 당시에는 중국IP라고 판정돼 그렇게 발표했다”며 “추가로 서버로그 등을 분석해 보니 농협의 사내IP를 (중국IP로) 오인한 것”이라고 설명했다.

대부분 기업에서는 공인IP가 부족하기 때문에, 한 IP를 쪼개 사내에서만 사용한다. 국제인터넷주소기구는 사설IP를 소속 국가와 동일한 것으로 쓰도록 권고하고 있지만 이를 지키지 않는다고 해서 불법은 아니다.

그렇다면 농협을 해킹한 IP는 어느 나라를 거쳐 들어왔을까.

이재일 본부장은 “공격 주체는 미궁인 상태이며 진원지를 찾기 쉽지 않다”며 “경유지를 여러 군데 거치기 때문에 진원지를 찾는 것은 외국에서도 어려운 일”이라고 모호한 답변을 내놓았다.

통상 해킹 공격은 여러 단계를 거쳐 이뤄지기 때문에 농협 해킹은 해외를 통해 농협의 사설IP를 경유지로 사용했다는 쪽으로 무게가 실리고 있다.

그러나 정부 당국은 이번 사태의 범인을 추적하는 데 핵심적인 실마리인 IP주소마저 제대로 파악해 내지 못하는 치명적인 실수를 저질러 비판을 피할 수 없게 됐다.

방통위 측은 “21일 새벽에 (중국IP라는) 보고를 받아 이날 오전에 발표했는데 저녁 6시쯤 아닐 가능성도 있다는 보고를 받았다”며 “같은 실수를 반복할까 봐 밤새 확인한 뒤 오늘 오후 발표한 것”이라고 해명했다.

한국인터넷진흥원 침해사고대응센터 직원들이 20일 발생한 사상 초유의 방송사 및 금융권 전산망 마비 사태를 해결하기 위해 분주하게 움직이고 있다.