큰사진보기
▲  이재일 한국인터넷진흥원(KISA) 인터넷침해대응센터 본부장이 22일 오후 방통위에서 3.20 전산망 대란 관련 '중국 IP' 오인 사실을 발표하고 있다.
ⓒ 김시연	관련사진보기

3.20 언론-금융사 전산망 대란 '북한 소행설'의 유력한 근거 하나가 사라졌다. 농협 전산망 해킹에 활용된 것으로 알려진 '중국 IP(인터넷 프로토콜)'가 국내 사설 IP로 드러난 것이다. 

방송통신위원회는 22일 오후 3시 30분 긴급 브리핑을 열고 "농협 해킹에 활용된 것으로 추정됐던 중국 IP는 농협 사내에서 사용하던 사설 IP로 확인됐다"고 밝혔다. 전날 발표 내용을 하루 만에 뒤집은 것이다. (관련기사: "방송·금융사 PC 3만2천여대 피해... 중국 IP 경유" )

"농협 사설 IP 주소를 중국 IP로 오인"... 대형 오보 양산

방통위는 21일 오전 "농협 시스템을 분석한 결과 중국 IP(101.106.25.105)가 '업데이트 관리 서버(PMS)'에 접속해 악성파일을 생성했다"고 밝혔다. 이를 근거로 대다수 언론은 '북한 소행' 가능성에 무게를 실었다. 그동안 북한 소행으로 알려진 사이버 테러가 대부분 중국 IP를 경유했기 때문이다. 

이재일 한국인터넷진흥원(KISA) 인터넷침해대응센터 본부장은 이날 "현장조사팀 조사 당시 해당 IP 주소를 확인한 결과 중국에 할당된 IP로 나왔지만, 뒤늦게 농협 내부 직원이 사내 정책에 따라 사용하던 사설 IP로 확인했다"면서 "기업마다 할당된 공인 IP가 부족해 사내에서만 사설 IP를 쓰는 경우가 많은데 일반적인 사설 IP 주소와 달라 혼동한 것"이라고 잘못을 인정했다. 현재 경찰청은 해당 PC가 해킹 경유지로 악용됐을 가능성이 높다고 보고 하드디스크를 확보해 조사중이다.

다만 이 본부장은 "농협 외 다른 피해기관에서 해외 침투 경로로 사용된 정황이 있는 해외 IP가 있는 것으로 파악돼 조사 중"이라며 여전히 해외 IP 경유 가능성에 무게를 실었다.

IP 주소는 인터넷에 연결된 컴퓨터에 배정된 고유한 주소로 해킹 경유지와 근원지를 파악하는 데 중요한 정보로 활용된다. 하지만 전날 구체적인 IP 주소까지 공개했던 방통위는 이날 해당 IP의 구체적인 소재 국가조차 공개하지 않았다. 이 본부장은 "해외 IP가 알려지면 상대방이 알고 범죄 행적을 정리해 버릴 수 있고 중국이 해킹 경유지가 아니라는 식의 항의를 유발할 수 있어 공개할 수 없다"고 밝혔다. 

이승원 방통위 네트워크정보보호팀장은 "어제는 국민에게 가급적 자세한 정보를 알리는 게 낫다고 생각했는데 앞으로는 확실한 증거가 나오면 발표하겠다"고 밝혔다.

정부는 지난 2009년 7.7 디도스 대란이나 2011년 농협, 지난해 6월 중앙일보 해킹 수사 사례를 들어 이번 사건 역시 정확한 근원지를 찾는 데 6개월 이상 걸릴 걸로 예상했다. 하지만 섣부른 '중국 IP' 발표로, 중국과의 외교 마찰은 물론 당장 실적 확보에 급급해 조사의 신뢰성만 떨어뜨리고 말았다.