정부는 중국IP가 아닌 한국 내 농협 전산망에 사용하는 사설IP를 통해 공격이 들어왔다고 발표했으나 여전히 최초유포지를 한국으로 단정하기는 어려운 상황이다.
해커 입장에서 가상 사설망(VPN)을 포함한 IP는 얼마든지 위장이 가능하기 때문이다. 더구나 PC 파괴기능을 가진 악성코드를 유포한 PC 역시 다른 곳으로부터 좀비PC화 됐을 가능성을 배제하기 어렵다.
22일 국내 보안전문가들에 따르면 농협 내부망에서 사용되는 사설 IP 주소가 공격에 활용됐다고 해도 최초유포지가 한국이라고 단정 지을 수 있는 근거는 아직 나오지 않았다. 한국인터넷진흥원(KISA)측은 해킹에 사용된 PC는 백신업데이트를 배포하고 관리하는 내부 서버용 PC는 아니라고 밝혔다.
다른 곳에서 해당 PC를 좀비PC로 만든 뒤에 농협을 공격하는 역할을 수행할 수 있도록 했을 가능성을 배제하기 어렵다는 것이다. 중국IP는 아닌 것으로 확인됐으나 그렇다고 내부자의 소행이라고 확신할 수 없다는 것이다.
이와 관련 또 다른 관계자는 로그분석 결과 정책적으로 농협의 내부 시스템에서만 사용되는 사설IP를 통해 안랩 폴리시 센터(APC) 서버 관리자 권한으로 접속했기 때문에 시스템에 접속한 외부IP를 확인해보면 어디서 접속했는지를 알 수 있다고 밝혔다.
현재로서는 한국에서 해커가 직접 농협 사내망에 접속해 공격을 했다고 단정짓기는 어렵다. 그러나 해당 IP주소가 어떤 곳에서 접속했는지를 역추적해 알아낸다면 내부시스템에 어떻게 접속했는지 게이트웨이, 라우터 등의 접속기록을 확인하면 내부 사설 IP에 접속한 외부 IP의 출처가 어딘지를 파악할 수 있을 것으로 보인다.
관련기사
- [전산망 마비]"백신회사 로그에 ID가 없다"2013.03.22
- "해킹, 국내 사설 IP로 밝혀져"2013.03.22
- 농협·KBS 등 전산망 장애 3일째 지속2013.03.22
- [전산망 마비]정부 “중국 IP가 악성코드 생성”2013.03.22
정부가 사설IP를 중국IP로 오해했던 이유는 사설IP에서 사용되는 대역이 중국 내 사용되는 공인 IP내역과 같았기 때문이다. 전 세계 IP주소를 배정하는 ICANN에 따르면 나라마다 배정되는 공인IP 주소가 부족할 경우 사설IP를 쓰도록 허용하고 있다.
국제 기준에 따라 할당된 사설IP 대역은 '10.0.0.0~10.255.255.255', '172.16.0.0~172.31.255.255', '192.168.0.0∼192.168.255.255' 등이다. 농협 직원이 사용한 것으로 알려진 이 PC의 IP는 101.106.25.105로 중국 공인IP 대역에 해당한다.
