「농협 해킹은 국내 IP주소」…한국 정부가 전날의 발표를 정정

이번 달 20일, 방송・금융 6사의 시스템 장해를 일으킨 악성 코드가 중국에서 들어갔다고 하는 한국 정부의 발표는 터무니 없었다.

방송 통신 위원회와 경찰청・한국 인터넷 진흥원(KISA)등에서 구성된 관민군합동 대응 팀은 22일, 「21일의 농협 해킹에 이용되었다고 발표한 IP주소는, 중국은 아니고 농협내에서 사용하고 있던 것이라고 확인된」와 분명히 했다.

국제 인터넷 규약에 의하면, 국별로 사용할 수 있는 IP주소가 결정되어 있다.이 때문에 해킹을 받은 농협 서버에 중국 IP로 접속했다고 판단되어 해커가 중국을 통해서 들어갔다고 발표했던 것이다.실제로는 농협이 인트라넷용으로서 부여한 가상 IP였다.

익명을 요구한 보안 관계자는「은행과 방송국의 시스템이 동시 다발적으로 타격을 받는“사이버 전쟁”의 와중에 탄환이 어디에서 날아 올까 알지 못하고, 풍부해도 있어 방향을 향한 것 같다.IP주소의 추적은 해커를 찾아 내는데 기본적인 단계이지만, 실제의 주소나 가상 주소일까하고 말하는 일도 확인하지 않는 초보적 미스를 했던 것이 이해할 수 없는」라고 말했다.

이러한 정부의 미스이기 때문에, 실제로 북한 해커가 중국 서버를 통해서 들어갔다고 분명히 해도 신뢰도가 떨어질 수 밖에 없다.정부는 변함 없이 해외 서버를 경유한 북한의 조업이라고 하는 심증을 가지고 있다.합동 대응 팀은, 6개의 기관의 공격에 동원된 기법이나 악성 코드의 유사성이 높기 때문에, 현재도 동일 그룹 의 조업이라고 하는 입장이다.

KISA의 이・형무소・인터넷 침해 대응 센터 본부장은「농협과 함께 해킹에 있던 MBC・YTN・ 신한은행의 컴퓨터를 조사한 결 과, 해외로부터 접속했다고 의심되는 IP주소를 찾아낸」와 분명히 했다.단지, 구체적인 해외 IP주소가 공개되는 경우, 해당국의 항의를 받으면 동시 에 수사가 어려워질 가능성이 있기 위해, 국가명은 분명히 하지 않기로 했다, 라고 설명했다.이 본부장은「농협의 업데이트 관리 서버를 공략한 콘퓨 타가 중국은 아니고 농협 내부의 것이라고 해도, 농협의 직원이나 국내의 사람이 해커라고 하는 의미는 아닌」로 해「해킹전에 해당 컴퓨터에 접속했다 IP가 해외국내나 확인하기 위해서 로그(서버 접속 기록) 분석을 해 나가는」라고 말했다.

그러나 해커의 정체를 입증하는 것은 용이하지 않을 전망이다.해커 출신의 시큐러티 전문가는「국내 서버를 대상으로 한 해킹의 대부분은 중국 IP를 통해서 들어 오는」로 해「IP주소를 분명히 해도 중국 현지에서 해커가 접속 기록을 변조하거나 컴퓨터를 폐기해 버리면, 증거를 찾아 (은)는 불가능하게 되는」라고 말했다.

한편, 합동 대응 팀은 이 날, 「 신한은행과 제주 은행은 복구를 완료해 정상화해, 농협은 복구 작업이 진행중」로 해「단지, 다수의 컴퓨터가 피해를 받은 방송국의 복구율은 10％수준에 머무르고 있는」라고 설명했다.

정부는 추가 해킹 피해를 예방하기 위해(때문에), 국무총리실의 주재로 정보 통신 기반 보호 위원회를 구성, 이 날 오후 3시부터 전력・교통 관련의 139 기관과 209 시설 에 대한 사이버 침해 사고 대응 시스템 점검을 시작했다.실제로 금융기관・방송국이 공격을 받은 20일 전후, 조선일보에의 사이버 공격도 있었던 것이 확인되어 .