지난 3·20 전산망 마비를 초래한 악성코드는 중국이 아니라 국내 컴퓨터에서 전파된 것으로 확인됐다.
22일 민관군 합동대응팀에 따르면 해킹을 유발한 악성코드는 당초 정부 발표와 달리 중국IP가 아닌 농협 직원이 사내 정책에 따라 사용한 사설 IP에 의한 것으로 드러났다. 합동대응팀은 농협 직원이 중국IP(101.106.25.105)와 동일한 숫자로 이뤄진 사설IP를 사용하고 있었다며, 사설IP를 중국IP로 오인했다고 설명했다.
합동대응팀은 경찰청이 관련 PC 하드디스크를 확보, 정밀 분석 중이라고 덧붙였다.농협의 피해 컴퓨터를 분석하는 과정에서 농협의 사설IP를 국제공인 중국IP로 오인하는 실수를 범했다는 것이다.
합동대응팀은 지난 21일 오후 농협내에 중국IP와 동일한 IP를 쓰고 있다는 제보를 받고 정밀분석을 벌인 결과, 중국IP와 동일한 농협의 사설IP에서 악성코드가 전파된 것을 확인했다.
이같은 사실은 농협의 전산망에 연결된 각종 컴퓨터를 파괴한 마지막 단계의 컴퓨터가 중국이 아니고 농협 내부에 있었다는 것을 의미한다.
합동대응팀은 해외에서 접속한 기록은 분명히 발견됐다면서도 어느 지역에서 접속했는지에 대한 언급은 회피했다.정부 합동대응팀 관계자는 “현재 모든 가능성 아래 악성코드 추적경로와 공격 주체를 파악하고 있다”며 “동일 조직이 공격한 것은 확실하지만 아직 구체적 공격주체는 확인하지 못했다”고 밝혔다.
김원배기자 adolfkim@etnews.com
