새정치민주연합이 19일 이탈리아 해킹팀 자료에서 발견한 한국 인터넷주소(IP) 138개 중 100여개가 네트워크 타임 프로토콜(NTP) 증폭 분산서비스거부(DDoS) 공격에 이용된 것으로 나타났다. 기술적으로 이를 민간인 사찰 증거로 제시하는 것은 무리라는 분석이다.
20일 사이버보안업계 다수 전문가는 새정치민주연합이 제시한 138개 IP를 분석한 결과 대부분 DDoS 공격과 연계된 NTP서버였다고 밝혔다.
전문가들은 관련 IP가 쓰인 날은 2014년 3월 4일 해킹팀이 DDoS 공격을 받은 시점과 같다고 분석했다. 단순 IP 분석보다 해당 날짜와 앞뒤 정황을 같이 봐야 한다는 것.
김승주 고려대 교수는 “IP주소만으로는 어떻게 활용됐는지 아무것도 알 수 없다”며 “좀비기기는 PC뿐만 아니라 냉방공조기기와 CCTV, 무선공유기 등 범위가 넓다”고 말했다. 김 교수는 “실제로 어나니머스는 2014년 3월 4일 해킹팀에 DDoS 공격을 감행했다”며 “이때 쓰인 한국 IP와 새정치민주연합이 제시한 IP가 상당수 겹친다”고 설명했다. 당시 어나니머스는 NTP 증폭 DDoS 공격을 감행했다.
사이버전을 전문 분석하는 이슈메이커스랩은 “해킹팀 로그에 있는 138개 IP 중 일부는 실제로 NTP 증폭 DDoS 공격에 자주 사용됐다”며 “해킹팀 공격 외에 여러 NTP 증폭 디도스 공격에 해당 IP가 악용됐다”고 밝혔다.
NTP는 클라이언트와 서버 사이에 시간 동기화를 위해 쓰는 프로토콜이다. 일반 서버는 시간 동기화를 위해 NTP서버에서 시간 정보를 받는다. 해킹팀 웹 사이트가 DDoS 공격을 받으면 공격에 이용된 다수 IP가 방화벽 서버 로그에 기록된다. 그 IP 중 한국에서 사용된 좀비 IP가 들어 있다.
한 보안전문가는 “해킹팀 이슈가 정확한 사실이 확인되지 않고 오해와 의혹만 증폭시키는 형태로 변질됐다”며 “무분별한 의혹제기보다 다수 전문가를 통한 상호 확인이 절실하다”고 말했다.
김인순기자 insoon@etnews.com