해킹사건, 오리무중 3대 의혹..정반대 가능성만

김현아 기자I 2013.03.23 11:49:12
[이데일리 김현아 기자] 지난 20일 방송사와 금융기관 7곳의 전산망을 마비시킨 해킹 사건이 오리무중이다. 해킹 경로나 범인이 누구냐는 차치하고서라도 해킹 수법마저 논란이어서 2011년 발생했던 SK커뮤니케이션즈 해킹 사건처럼 미제 사건으로 남을 수 있다는 우려다.

◇해킹 경로 원점 수사..사용된 IP는 국내 것

농협 해킹 경로로 추정된 인터넷프로토콜(IP)주소가 중국이 아닌 농협 내부 직원이 사용해 온 사설IP로 확인됐다. 기업들은 공인IP가 부족하다는 이유로 한 IP를 쪼개 사내에서만 사용하는데, 우연히 농협 해킹에 사용된 IP(101.106.25.105)가 차이나텔레콤이 쓰는 IP와 같아 중국발 IP로 발표했다는 게 정부합동조사팀 해명이다.

정부는 그동안 이번 해킹이 중국 IP를 경유해 이뤄졌고 북한이 쓰던 해킹 유형과 비슷하단 이유를 들어 북한 공격 가능성을 추정해 왔지만, 조사는 원점으로 돌아갔다.

농협 직원이 해킹한 게 아니라면 이 IP는 해킹의 진원지일 수 없다. 이재일 한국인터넷진흥원 본부장은 “경유지를 여러 군데 거치기 때문에 진원지를 찾는 것은 외국에서도 어려운 일”이라고 말했다. SK컴즈 사건에서도 경찰청 사이버테러대응센터는 해커가 미국 도메인과 중국 IP를 사용한 사실은 확인했지만 진원지를 찾지는 못했다.

지난 20일 인터넷에 돌았던 해골 문양. LG유플러스의 그룹웨어를 사용하는 일부 기업에서 정상 화면이 아닌 해골과 함께 변조된 화면이 보였다.
◇해킹 수법도 논란..백신업체 vs 정부합동조사팀

악성코드는 정상적인 백신처럼 교묘하게 위장됐는데, 어떻게 방송사, 은행 내부에 있는 백신 업데이트 관리 서버에 들어갔느냐도 논란이다. 직원들이 최신 백신을 업데이트받는 내부 서버가 악성코드를 내려보낸 것은 확인됐는데, 내부 서버 침투경로는 밝혀지지 않았다.

안랩(053800)은 “악성코드 유포는 해커가 고객사 서버 관리자의 계정을 탈취한 것으로 추정되며, 자사 내부에 있는 백신 업데이트 서버(마스터서버)가 해킹당한 것은 아니다”라고 공식 발표했다.해커가 고객사를 해킹해 안랩이나 하우리가 공급한 백신 업데이트 관리 서버의 관리자 계정을 획득해 악성코드를 심었다는 주장이다.

그러나 일부 보도에 따르면 합동조사팀이 농협의 서버를 조사한 결과 농협 서버의 관리자가 접속한 기록이 남아 있지 않은 걸로 확인됐다.

안랩 관계자는 “업데이트 서버에 접근하는 여러 단계 가운데 하위 단계는 로그인 기록이 없어도 된다”면서 “농협에서 발견된 것 역시 하위 단계”라고 해명했지만,악성코드가 고객사에 있는 서버 해킹으로 유포된 게 아니라 백신업체 내부망이뚫려 마스터서버에서 고객사 업데이트 관리서버로 악성코드가 퍼졌을 가능성도 배제하기 어렵다.

◇피해회사 더 있을 수도..연합팀 가능성

한국인터넷진흥원이 밝힌 해킹된 업체는 7곳이다. KBS(내부시스템 장애, 홈페이지 접속 장애), MBC( 내부시스템 장애), YTN(보도서버 다운),신한은행(일부서버 다운),농협(전산시스템 장애),제주은행(단말기 장애)외에 LG유플러스(032640) 안양데이터센터(LG그룹웨어 쓰는 중소기업 등 피해)도 피해 입었다.

LG 유플러스 측은 “이번 대규모 내부 전산망 마비 사건과 직접 관련은 없다”고 주장했다.회사 관계자는 “MBC는 초고속인터넷이 다운됐는데 SK브로드밴드 망을 쓰고, 제주은행은 우리 망을 쓰지 않는다”고 말했다.

하지만, 문제가 된 방송사와 금융사가 모두 LG유플러스 통신망(MBC의 경우 방송망 사용)을 사용해 정부합동조사팀은 이례적으로 통신 3사 중 LG유플러스에만 조사팀을 급파했다.

권석철 큐브피아 사장(전 하우리 사장)은 “발견된 14개 악성코드 중 3개를 봤는데 3개는 유사한 패턴을 보였지만, 피해업체가 더 있고 여러 공격을 동시 다발로 감행한 연합팀 소행일 가능성이 크다”면서 “SK컴즈 사건과 유사해 보이는 고난도 해킹 사건으로, 진실을 가리는데 오랜 시간이 걸리거나 미제 사건이 될 우려도 있다”고 말했다.

`3·20 해킹` 민간 전산망 마비

- 정부, 농협 인터넷 뱅킹 중단 해킹 흔적 없어 - 농협인터넷 뱅킹 또 중단.."해킹은 아니라지만…"(종합) - 북한, 8개월 전부터 해킹 준비..수분간 IP노출로 덜미

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지