[앵커멘트]

방송통신위원회가 YTN 등 주요 방송사와 금융기관 해킹에 사용된 것으로 지목했던 IP가 중국발이 아닌 것으로 확인됐습니다.

농협 직원이 사내에서 사설 IP로 사용하고 있었는데 중국 IP로 오인했다는 겁니다.

어제 방송통신위원회의 성급한 발표가 혼선을 부른 셈이 됐습니다.

방송통신위원회에 나가 있는 취재기자를 연결해 자세한 내용을 알아보겠습니다. 이승윤 기자!

악성코드를 심은 것으로 지목된 IP가 중국 IP가 아니었다고요?

[리포트]

지난 20일 국내 주요 방송·금융기관의 전산망을 마비시킨 악성코드는 중국이 아니라 국내 IP를 경유한 것으로 확인됐습니다.

오늘 정부 합동대응팀은 해킹을 유발한 악성코드는 당초 정부 발표와 달리 중국IP가 아닌 농협의 IP를 경유한 것으로 조사 결과 드러났다고 밝혔습니다.

농협측이 내부용으로 사설IP를 만들어 사용하고 있었는데 이것이 우연히 중국IP와 일치해서 중국 IP로 오인했다는 겁니다.

정부 합동대응팀은 조사에 참여했던 실무자가 농협의 피해 컴퓨터를 분석하는 과정에서 농협의 사설IP를 발견하고 이것을 동일한 국제공인 중국IP로 오인하는 실수를 범했다고 설명했습니다.

하지만 이번 해킹에 외국에서 접속한 기록은 분명히 발견됐다면서 어느 지역에서 접속했는지에 대한 언급은 회피했습니다.

정부 합동대응팀은 현재 모든 가능성을 열어두고 악성 코드 추적 경로를 파악해 공격 주체 확인에 나섰다면서 동일 조직이 공격한 것은 확실하지만 아직 구체적인 공격주체는 확인하지 못했다고 밝혔습니다.

이처럼 민·관·군 합동대응팀이 농협의 내부 IP에서 이뤄진 공격을 중국발 공격으로 오인한 것은 공인 IP주소와 사설 IP주소의 차이를 간과했기 때문으로 보입니다.

IP주소는 인터넷규약주소를 뜻하는데요.

네트워크에 연결된 모든 기계는 번호로 된 고유의 IP주소를 가지고 있어야 합니다.

IP주소는 중복되면 안 되기 때문에 국제인터넷주소관리기구(ICANN)가 나라별로 대역을 할당합니다.

이에 따라 IP주소만 보면 해당 기기가 정확히 어디에 있는지는 몰라도 어느 나라에 있는지는 쉽게 알 수 있습니다.

대응팀이 농협 시스템에서 발견했다고 밝힌 101.106.25.105는 중국이 소유한 IP주소 대역에 속한 탓에 대응팀은 이 IP주소를 보고 이번 해킹이 중국발 공격이라고 단정하게 된 겁니다.

문제는 이런 IP주소의 속성이 모두 공인 IP주소에 한해서 그렇다는 점입니다.

일반적으로 기업의 사내 망에서는 기기 각각에 임의의 숫자로 된 사설 IP주소를 부여할 수 있습니다.

이는 사내에서만 쓰는 주소이므로 외부의 다른 IP주소와 겹쳐도 문제가 되지 않습니다.

다시 말하면, 대응팀이 이 주소가 사설 IP주소일 수 있다는 점을 간과한 것이 문제였습니다.

결국 외부에서 침입한 해커가 이 사설 주소를 경유해 백신 소프트웨어 배포관리 서버에 접속하고, 악성코드를 생성했다는 결론입니다.

농협도 사내에서 해당 IP주소를 생성해 사용하고 있다는 사실을 시인한 것으로 알려졌습니다.

지금까지 방송통신위원회에서 YTN 이승윤입니다.

YTN 뉴스