22일 정부 합동대응팀은 "농협 해킹을 유발한 악성코드는 내부자가 사용하는 사설IP로 농협 해킹 경유지로 사용됐다"고 밝혔다.
하지만 추가 확인 결과 농협 내부 직원이 사용하는 IP가 우연히 중국IP로 쓰이는 형태와 같은 숫자로 이뤄진 사설IP였다는 것.
결국 22일 조사 결과에 따르면 외부에서 침입한 해커가 농협의 해당 사내전용IP를 경유해 농협의 업데이트 관리서버(PMS·Patch Management System)에 접속하고, 악성코드를 생성한 셈이다.
농협도 "농협 내부망을 이용하는 한 PC가 자사 공격의 숙주로 이용됐다"며 "하지만 타 기관의 해킹 경유지로 농협 PC가 이용된 것은 아니다"라고 강조했다.
이 시각 인기 뉴스
최초 어떤 경로에서 농협 사내전용IP가 탈취됐는지는 밝혀지지 않고 있다. 경찰청은 해당 IP로 접속한 관련 PC의 하드디스크를 추가 확보해 정밀 분석 중이다. 대응팀 관계자는 "해킹은 경유지를 여러곳 거치기 때문에 진원지를 찾기 쉽지 않아 연관관계를 찾아보고 있다"고 말했다.
업계에서는 공인 IP주소와 사설 IP주소 구분 같은 초보적인 조사에서도 오판을 해 발표 하루 만에 결과를 번복했다는 점에서 정부의 대응능력이 떨어진다고 지적하고 있다.
특히 정부의 당초 발표를 토대로 이번 사태가 북한발 소행이 아니냐는 의혹이 제기됐다는 점에서 국민 혼란을 부추긴 셈이다. 과거 북한발 해킹으로 의심됐던 사건들의 경우 중국 IP가 등장했기 때문이다.
대응팀 관계자도 "실무조사팀이 중국 IP로 확인했다고 보고한 것을 2차, 3차로 점검했어야 했는데 그런 노력에 소홀했다"고 시인했다.
한편 농협 외 피해기업의 경우 해외IP를 경유했을 가능성은 여전히 열려있다. 대응팀 관계자는 "농협 외 피해기업에서 해외IP를 경유해 공격을 받았을 가능성이 높은 곳이 있다"며 "상당히 의심스러운 외부발 IP가 있지만 정보가 나가면 조사에 영향을 줄 수 있기 때문에 확실한 증거와 결과가 나오지 않는 한 발표하기 어렵다"고 말했다.
이에 따라 대응팀은 해외유관기관과 협력해 최초 공격지점 및 공격주체를 규명하는 데 주력하고 있다. 정부는 또 6개 기관별로 사용된 공격기법 및 악성코드의 유사성이 높아 동일그룹의 소행 가능성이 높다고 밝혔다.
한편 이번 해킹 사태 발생 이후 이날까지 추가적 피해신고 사례는 없는 것으로 나타났다. 현재 금융기관 중 신한은행과 제주은행은 복구를 완료해 정상화됐고, 농협은 복구작업이 진행 중이다. KBS·MBC·YTN은 약 10% 수준의 복구율을 보이고 있다.
