지난 20일 국내 주요 방송·금융기관의 전산망을 마비시킨 악성코드는 중국 IP를 통해 유입된 것이 아닌 것으로 확인됐다.
정부합동조사팀은 22일 방통위에서 가진 브리핑에서 "추가 조사결과 농협에서 발견된 중국 IP 주소는 농협 내부에서 사용하는 내부망 IP로 확인됐다"고 밝혔다. 또 "농협내 중국 할당 IP 발견은 우연의 일치"라고 덧붙였다.
아래는 일문일답
-중국 IP 사내정책 따라 확인 됐다는데, 판단 근거는?
▲당시 해당 IP를 중국으로 판단한 근거는 관계기관과 IP 주소 확인한 결과 중국에 할당된 것으로 판단한 것이다. 농협이 사설 IP를 썼다.
-사설 IP를 사용했다?
▲통상적으로 기업이 사설 IP 사용한다. 기업마다. 국제적으로 정해진 기준이 있지만 (농협은)통상 기준을 사용하지 않았다. 인트라망(내부망) 내에서 공인 IP를 쓰면 충동할 수 있어서 사내에서는 사내 IP를 사용한다.
-중국 IP가 맞나?
▲우연한 일치로 봐야 한다. 농협 안에서 접속된 것이다. 그 PC가 해킹에 사용됐을 가능성이 있다. 사내 IP 맞다.
-악성코드 심어 놓은 시기는?
▲사건이 일어나기 1년 전은 아니고, 사건 발생 동일한 시기 발생했다.
-공격한 악성 코드가 14종 나왔다는데 변종 나온 건가?
▲약간의 변종있다고 보면 된다.
-공격 주체는 미궁인가?
▲3477 등 여러 가지 있지만 진원지 찾기는 굉장히 어렵다. 경유지를 거치기 때문에 최종 진원지는 찾기 어렵다.
-중국 IP 아니면 북한 소행이 아닌가?
▲내부 IP 맞다. 합동팀에서는 의심스러운 외부 발 IP 있는 것은 확실하다. 해당 사이버 공격이 시작된 시간대 서버에 접속한 기록 등을 보고 조사했다. 그 (중국 IP 발견)PC가 공격에 사용된 것은 맞는 것으로 확인된다.
-이전 발표와 지금 발표가 다른 이유는?
▲발표하는 과정에서 한번 더 확인해 2차적으로 검증하는 절차를 걸쳤어야 하는데 국민께 혼란을 드려 죄송하다. 향후에는 2차, 3차 절차를 걸쳐 구체적으로 확인한 후 발표하겠다.
-그렇다면 중국을 통한 공격이 아니라는 것인가?
▲여전히 가능성은 많이 열려있다. 꼭 중국을 통한 공격이 아니라는 것도 아니다. 다른 PC에서도 해외 다수의 IP가 발견됐기 때문에 아직 구체적인 답변을 하기는 어렵다.
-어제는 중국IP가 확실하다고 했는데?
▲앞으로는 신중히 발표하겠다. 1차, 2차, 3차 확인해야 하는데 실무자 말만 믿고 발표한 것이 잘못한 것이다. 만약에 이런 사태가 국민들에게 오해를 불러일으킬 수 있기 때문에 또 다시 발표하게 된 것이다.
- 해당 농협 PC를 조사한 이유는?
▲그 IP를 조사한 이유는 해당 사이버 공격이 시작된 시간대 서버에 접속한 기록 등을 보고 조사했다. 그 PC가 공격에 사용된 것은 맞는 것으로 확인된다.
- 농협PC에서 이외에 의심되는 IP주소는 여전히 많이 있나?
▲굉장히 많이 있다. 의심스런 IP가 수십내지 수백여개에 달한다. 다만 농협에서는 의심스런 중국IP는 더 발견되지 않았다.
- 해외 IP가 다양하게 발견됐다고 하는데 왜 밝히지 못하나
▲어제 중국IP로 발표하자 중국에서 자신들의 잘못이 아니라고 해명하는 일도 있었고 잘못 발표했다간 국제적인 문제가 될 수 있다. 앞으로는 구체적으로 1차, 2차, 3차 등 절차를 거쳐 확실한 출처를 밝힌 뒤 발표하겠다.
- 해당 PC는 서버 관리 권한을 갖고 있는 PC인가?
▲서버 관리 권한을 갖고 있는 PC는 아니다. 업데이트 서버에 연결돼 있는 PC다.
- 해당 농협의 PC가 중국IP를 이용한 사설IP라는데 불법은 아닌가?
▲사설IP 사용은 국제적 기준을 따르지 않았을 뿐 불법은 아니다.