정부는 당초 피해기업 중 하나인 농협의 시스템해킹을 유발한 악성코드가 중국 IP를 경유했다고 발표한 바 있지만, 추가 확인 결과 중국IP가 아닌 농협 내부의 컴퓨터를 통해 전파된 것으로 드러났다.
방송통신위원회는 22일 "농협 해킹에 활용된 것으로 추정됐던 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석했다"며 "조사 결과 내부직원이 사내정책에 따라 사내전용IP로 사용하는 것으로 확인됐다"고 밝혔다.
하지만 추가 확인 결과 농협 내부 직원이 우연히 중국IP로 쓰이는 형태와 같은 숫자로 이뤄진 사설IP를 만들어 사용한 것을 정부가 중국IP로 오인했다는 게 조사팀의 설명이다.
결국 외부에서 침입한 해커가 농협의 해당 사내전용IP를 경유해 농협의 업데이트 관리서버(PMS·Patch Management System)에 접속하고, 악성코드를 생성한 셈이다. 하지만 최초 어떤 경로에서 농협 사내전용IP가 탈취됐는지는 밝혀지지 않고 있다.
경찰청은 해당 IP 관련 PC의 하드디스크를 추가 확보해 정밀 분석 중이다.
이 시각 인기 뉴스
대응팀 관계자는 "해킹은 경유지를 여러곳 거치기 때문에 진원지를 찾기는 쉽지 않다"며 "연관관계를 찾아보고 있다"고 말했다.
농협 외 피해기업의 경우 해외IP를 경유했을 가능성은 여전히 열려있다. 대응팀도 해외 침투 경로가 사용된 정황이 파악됐다고 밝혔다. 이에 따라 대응팀은 해외유관기관과의 협력을 통해 최초 공격지점 및 공격주체를 규명하는 데 주력하고 있다.
대응팀 관계자는 "농협 외 피해기업에서 해외IP를 경유해 공격을 받았을 가능성이 높은 곳이 있다"며 "상당히 의심스러운 외부발 IP가 있지만 정보가 나가면 조사에 영향을 줄 수 있기 때문에 확실한 증거와 결과가 나오지 않는 한 발표하기 어렵다"고 말했다.
정부는 또 6개 기관별로 사용된 공격기법 및 악성코드의 유사성이 높아 동일그룹의 소행 가능성이 높다고 밝혔다.
한편 3.20 시스템 해킹에 따른 악성코드 감염으로 내부시스템 파괴 등의 사고 발생 이후 이날까지 추가적 피해신고 사례는 없는 것으로 나타났다.
현재 금융기관 중 신한은행과 제주은행은 복구를 완료해 정상화됐고, 농협은 복구작업이 진행 중이다. KBS·MBC·YTN은 약 10% 수준의 복구율을 보이고 있다.
대응팀은 해킹 경로 규명을 위해 3개 기관(MBC, 신한은행, 농협)을 공격한 14종의 악성코드를 채증해 추가 분석했고, 3개 기관(MBC, YTN, 신한은행)의 피해시스템 하드디스크 이미지를 확보해 분석 중이다.
