"
[쿠키 경제] 정부 합동 대응팀은 당초 중국의 IP어드레스(인터넷 주소)로 알려졌던 지난 20일의 방송사-금융기관 전산망 파괴 사고 관련 조사 내용을 정밀 분석한 결과 농협 내부 직원이 사내 정책에 따라 사설 IP로 사용했던 것으로 확인했다고 22일 밝혔다.
정부는 지난 20일 발생한 전산망 파괴 사고의 악성코드가 중국 IP에서 유입됐다며 북한의 소행으로 추정되는 강력한 근거로 제시했다. 청와대도 "북한 소행이라는 강한 의구심을 가지고 있다"고 했을 정도였다. 그러나 합동대응팀은 하룻만에 "해킹 근원지가 국내일수도 있다"고 180도 바뀐 입장을 내놓았다.(아래 질의응답 참고)
사고 후 사흘째인 22일 KBS MBC YTN은 약 10% 수준의 복구율을 보이고 있고 금융기관 중 신한은행, 제주은행은 복구를 완료했다고 정부 합동대응팀은 밝혔다. 농협은 복구 작업이 진행 중이다.
합동대응팀은 해킹 경로 규명 위해 3개 기관(MBC, 신한은행, 농협)을 공격한 14종의 악성코드를 체증, 추가 분석했고, 이 3개 기관의 피해시스템 하드디스크 이미지를 확보해 분석 중이다.
정부는 6개 기관별로 사용된 공격기법 및 악성코드의 유사성 높아 동일 그룹 소행 가능성 높으며 해외 침투 경로가 사용된 정황이 파악됐기 때문에 해외 유관기관과의 협력 통해 대응 추진할 계획이라고 밝혔다.
다음은 합동대응팀의 기자회견 질의응답 전문.
-농협 해킹 활용 추정 중국 IP 사설IP 사용 뭐? 중국 IP 판단했던 이유 뭐?
=당시 IP가 중국 IP로 판단한 근거는 해당 IP에 대한 정보 기반해서 관계기관 IP주소 확인해 보니 중국에 할당됐던 것.
-사설 IP가 무엇?
=통상적으로는 기업이 조직 내에서 사설 IP 사용. 10. XX 등 쓴다. 해당 기관에서는 통상적인 기준 쓰지 않고 자체 기준 썼다. 해킹에 악용될 수 있어 더 말씀드릴 수는 없다.
-농협이 중국에 개설 IP?
= 국내서 인트라 망 PC다. 서버에 연결하기 위해 할당하는 IP다. 사설 IP 대역 쓴다. 정책에 따라 사내에서 쓰기 때문에 공인 IP로 써도 된다. 실제 접속은 기관 내부 PC에서.
-중국 IP 아닌가?
=사내에서 사용한 IP가 맞고, 주소상에 중국에 할당된 거로 나온다. 내부 사설 IP로 사용했다는 것.
=우연의 일치다. 농협 안에서 접속된 것.
-사내 IP가 악성코드로 나오기 전에 누가 심은 거는 없어?
=그런 정황이 우려된다. 경찰에서 하드디스크 입수해 조사 중. 그 PC가 해킹의 경유지로 악용됐을 것으로 예상됨. 우려된다.
-악성코드 심어 놓은 시기는?
=사건 일어나기 전.
-어느 정도?
=1년 전까지는 아니다. 그때 비슷한 시기.
-여전히 동일 조직?
=여러 기관 공격 받아. 공격 기법, 공격 설계한 거 봤을 때 말씀드린 것.
-파악된 해외 침투 경로는 뭐냐?
=아까 말한 IP는 내부에서 접근한 IP가 맞다. 저희가 민관군 대응팀에서 조사하고 있는 거는 여러 가지 많다. 상당히 의심스러운. 조사가 오래 걸리므로. 외부발 IP가 있다. 사실 어디 것인지는 말하기 어렵다. 농협 아닌 다른데서 나온 거.
=해외서 나온 거는 맞다.
-북 소행 중국 IP로 추정했는데, 지금 국내 IP인 건데... 해외 어디서 들어온 다른 거 말 못한다?
=농협은 사내 IP로 접속. 그 IP가 해킹에 경유지로 악용됐을 가능성 있다. 해외서 유입된 IP가 있는 것으로. 농협 아닌 다른 기관들... 그런 정황 있다. 실제로 어떠한 결과 미쳤는지는 조사해 봐야 안다.
-공격 주체는 여전히 미궁?
=사실 해킹 공격 진원지 찾기 힘들다. 하지만 조사 중. 경유지를 여러 군데 거치기 때문에 진원지 찾기 해외에서도 힘들다.
=중국 IP 발표하면서 다양한 가능성 언급. 확실한 증거 없다.
-BH에서는 그렇게 얘기했는데?
=...
=방통위는 국민께 가급적 증명된 사실만 얘기하겠다. 확실히 증거 나오면 발표하겠다.
=해외는 어느 정도 정황 있어 말한 거다.
-사설 IP는 의심 어떤 거?
=사설 IP 조사한 거는 업데이트 관리 서버. 사내에서 운영하는. 악성코드 유포된 걸로 보이고, 그 시간대 서버에 접근한 기록을 보고. 그 PC가 공격에 사용된 거는 맞다.
-중국 IP 업데이트 서버 그 얘기는 번복하는 거?
=그렇다. 한번 더 확인 못하고 자세한 정보 제공하고자 2차 검증 소홀히 한 측면 있다.
=농협에서 사설 IP로 중국 공인 IP... 그 가능성은 많이 열려 있다.
-해외 접속 증거 어떻게 믿나?
=추후에 공식 발표할 때 반드시 발표하겠다.
-농협 사설 IP에 동일하게 접속한 IP 주소는 몇 개?
=굉장히 많다.
-농협 외에 다른 중국 IP?
=농협에는 그거 말고 없었다.
=그 당시에 해당 IP 조사 결과 통해 소재지가 중국으로 판명됐고, 다만 추가 조사에서 이 IP가 공격에 이용될 수 있다는 거. 서버 로그, IP 할당정책 조사했다.
- 농협 직원 국내?
=그렇다.
=대부분 공인 IP 개수 할당 전세계 부족. 그래서 사설 IP 쓰기도 한다.
-3개 기관 분석하고 3개만 하드 확보, 나머지는 안 한 거?
=민관군 합동팀에서 아직 조사 중. 3개 기관은 어느 정도 조사가 되고 있는 것이다.
=하드디스크 용량에 따라 기간이 오래 걸릴 수 있다.
-중국 발 IP라는 걸 중요하게 봐야할 이유 있나?
=경유지일 수 있고 근원지 일 수 있는데, 근원지 찾아가는 시작점이다. 최초 경유지인지...그걸 수사하기 위한 단초다. 범인 찾는데 중요하다는 거다.
-사설 IP 주소?
=경유지일 가능성이 높다는 거고 아직 그 단계까지 안 갔다.
=국내가 근원지일 수도 있다.
-국내 조직?
=그건 조사해 봐야 한다.
-조사는 납득할 만한 단계 조사 언제쯤?
=주의 경보까지 나왔는데. 2009년 7.7, 농협... 그 정도의 사건이다. 이런 경우 통상 6개월 이상 걸렸다. 근원지 찾기 위해서는 상당기간. 이런 공격의 위험은 APT, 지능형 공격이다. 오랜 기간 설계돼 장기간 소요될 듯.
-농협 외 다른 사 PC 관리자 계정 탈취해 들어왔을 가능성 있나?
=업데이트 관리자 서버 해킹 돼서 악성코드 유포된 거는 조사해 봐야할 사항임.
=해킹의 유형을 보면 업데이트 관리 서버로 많이 하는 이유가 동시에 많은 PC, 서버 감염 시킬 수 있으므로.
-현재 상황 정리?
=현장 출동해서 관계기관과 조사. 토의하고 IP 주소지 확인하고. 중국 IP로 나왔고, 사내 IP인지 아닌지 일부 점검. 그 당시는 중국 IP로 나왔고. 악용됐는지 서버 로그와 IP 할당정책 확인해 봤더니 사내 정책에 따라 중국 IP 사설로 쓰는 걸로 나옴. 조사를 하면 다양한 공격 유포지, 경유지 나올 수 있을 것.
-중국 IP 확인 시점과 아닌 거 확인된 시점?
=당일 새벽에 보고 받아 브리핑 받아 포함시켰는데. 관계기관에서 분석했고... 오후 18시 정도에 아닐 가능성도 있다는 보고 있음. 21일 10시에 브리핑했고, 21일 18시에 아닐 수 있다는 보고 받아. 같은 실수 반복할까봐 수차례 확인.
=이런 사태가 국민에게 감추는 것처럼 보일 것 같아 이계철 위원장 지시로 이 내용 발표하는 거다.
국민일보 쿠키뉴스 홍해인 기자 hihong@kmib.co.kr
[쿠키 경제] 정부 합동 대응팀은 당초 중국의 IP어드레스(인터넷 주소)로 알려졌던 지난 20일의 방송사-금융기관 전산망 파괴 사고 관련 조사 내용을 정밀 분석한 결과 농협 내부 직원이 사내 정책에 따라 사설 IP로 사용했던 것으로 확인했다고 22일 밝혔다.
정부는 지난 20일 발생한 전산망 파괴 사고의 악성코드가 중국 IP에서 유입됐다며 북한의 소행으로 추정되는 강력한 근거로 제시했다. 청와대도 "북한 소행이라는 강한 의구심을 가지고 있다"고 했을 정도였다. 그러나 합동대응팀은 하룻만에 "해킹 근원지가 국내일수도 있다"고 180도 바뀐 입장을 내놓았다.(아래 질의응답 참고)
사고 후 사흘째인 22일 KBS MBC YTN은 약 10% 수준의 복구율을 보이고 있고 금융기관 중 신한은행, 제주은행은 복구를 완료했다고 정부 합동대응팀은 밝혔다. 농협은 복구 작업이 진행 중이다.
합동대응팀은 해킹 경로 규명 위해 3개 기관(MBC, 신한은행, 농협)을 공격한 14종의 악성코드를 체증, 추가 분석했고, 이 3개 기관의 피해시스템 하드디스크 이미지를 확보해 분석 중이다.
정부는 6개 기관별로 사용된 공격기법 및 악성코드의 유사성 높아 동일 그룹 소행 가능성 높으며 해외 침투 경로가 사용된 정황이 파악됐기 때문에 해외 유관기관과의 협력 통해 대응 추진할 계획이라고 밝혔다.
다음은 합동대응팀의 기자회견 질의응답 전문.
-농협 해킹 활용 추정 중국 IP 사설IP 사용 뭐? 중국 IP 판단했던 이유 뭐?
=당시 IP가 중국 IP로 판단한 근거는 해당 IP에 대한 정보 기반해서 관계기관 IP주소 확인해 보니 중국에 할당됐던 것.
-사설 IP가 무엇?
=통상적으로는 기업이 조직 내에서 사설 IP 사용. 10. XX 등 쓴다. 해당 기관에서는 통상적인 기준 쓰지 않고 자체 기준 썼다. 해킹에 악용될 수 있어 더 말씀드릴 수는 없다.
-농협이 중국에 개설 IP?
= 국내서 인트라 망 PC다. 서버에 연결하기 위해 할당하는 IP다. 사설 IP 대역 쓴다. 정책에 따라 사내에서 쓰기 때문에 공인 IP로 써도 된다. 실제 접속은 기관 내부 PC에서.
-중국 IP 아닌가?
=사내에서 사용한 IP가 맞고, 주소상에 중국에 할당된 거로 나온다. 내부 사설 IP로 사용했다는 것.
=우연의 일치다. 농협 안에서 접속된 것.
-사내 IP가 악성코드로 나오기 전에 누가 심은 거는 없어?
=그런 정황이 우려된다. 경찰에서 하드디스크 입수해 조사 중. 그 PC가 해킹의 경유지로 악용됐을 것으로 예상됨. 우려된다.
-악성코드 심어 놓은 시기는?
=사건 일어나기 전.
-어느 정도?
=1년 전까지는 아니다. 그때 비슷한 시기.
-여전히 동일 조직?
=여러 기관 공격 받아. 공격 기법, 공격 설계한 거 봤을 때 말씀드린 것.
-파악된 해외 침투 경로는 뭐냐?
=아까 말한 IP는 내부에서 접근한 IP가 맞다. 저희가 민관군 대응팀에서 조사하고 있는 거는 여러 가지 많다. 상당히 의심스러운. 조사가 오래 걸리므로. 외부발 IP가 있다. 사실 어디 것인지는 말하기 어렵다. 농협 아닌 다른데서 나온 거.
=해외서 나온 거는 맞다.
-북 소행 중국 IP로 추정했는데, 지금 국내 IP인 건데... 해외 어디서 들어온 다른 거 말 못한다?
=농협은 사내 IP로 접속. 그 IP가 해킹에 경유지로 악용됐을 가능성 있다. 해외서 유입된 IP가 있는 것으로. 농협 아닌 다른 기관들... 그런 정황 있다. 실제로 어떠한 결과 미쳤는지는 조사해 봐야 안다.
-공격 주체는 여전히 미궁?
=사실 해킹 공격 진원지 찾기 힘들다. 하지만 조사 중. 경유지를 여러 군데 거치기 때문에 진원지 찾기 해외에서도 힘들다.
=중국 IP 발표하면서 다양한 가능성 언급. 확실한 증거 없다.
-BH에서는 그렇게 얘기했는데?
=...
=방통위는 국민께 가급적 증명된 사실만 얘기하겠다. 확실히 증거 나오면 발표하겠다.
=해외는 어느 정도 정황 있어 말한 거다.
-사설 IP는 의심 어떤 거?
=사설 IP 조사한 거는 업데이트 관리 서버. 사내에서 운영하는. 악성코드 유포된 걸로 보이고, 그 시간대 서버에 접근한 기록을 보고. 그 PC가 공격에 사용된 거는 맞다.
-중국 IP 업데이트 서버 그 얘기는 번복하는 거?
=그렇다. 한번 더 확인 못하고 자세한 정보 제공하고자 2차 검증 소홀히 한 측면 있다.
=농협에서 사설 IP로 중국 공인 IP... 그 가능성은 많이 열려 있다.
-해외 접속 증거 어떻게 믿나?
=추후에 공식 발표할 때 반드시 발표하겠다.
-농협 사설 IP에 동일하게 접속한 IP 주소는 몇 개?
=굉장히 많다.
-농협 외에 다른 중국 IP?
=농협에는 그거 말고 없었다.
=그 당시에 해당 IP 조사 결과 통해 소재지가 중국으로 판명됐고, 다만 추가 조사에서 이 IP가 공격에 이용될 수 있다는 거. 서버 로그, IP 할당정책 조사했다.
- 농협 직원 국내?
=그렇다.
=대부분 공인 IP 개수 할당 전세계 부족. 그래서 사설 IP 쓰기도 한다.
-3개 기관 분석하고 3개만 하드 확보, 나머지는 안 한 거?
=민관군 합동팀에서 아직 조사 중. 3개 기관은 어느 정도 조사가 되고 있는 것이다.
=하드디스크 용량에 따라 기간이 오래 걸릴 수 있다.
-중국 발 IP라는 걸 중요하게 봐야할 이유 있나?
=경유지일 수 있고 근원지 일 수 있는데, 근원지 찾아가는 시작점이다. 최초 경유지인지...그걸 수사하기 위한 단초다. 범인 찾는데 중요하다는 거다.
-사설 IP 주소?
=경유지일 가능성이 높다는 거고 아직 그 단계까지 안 갔다.
=국내가 근원지일 수도 있다.
-국내 조직?
=그건 조사해 봐야 한다.
-조사는 납득할 만한 단계 조사 언제쯤?
=주의 경보까지 나왔는데. 2009년 7.7, 농협... 그 정도의 사건이다. 이런 경우 통상 6개월 이상 걸렸다. 근원지 찾기 위해서는 상당기간. 이런 공격의 위험은 APT, 지능형 공격이다. 오랜 기간 설계돼 장기간 소요될 듯.
-농협 외 다른 사 PC 관리자 계정 탈취해 들어왔을 가능성 있나?
=업데이트 관리자 서버 해킹 돼서 악성코드 유포된 거는 조사해 봐야할 사항임.
=해킹의 유형을 보면 업데이트 관리 서버로 많이 하는 이유가 동시에 많은 PC, 서버 감염 시킬 수 있으므로.
-현재 상황 정리?
=현장 출동해서 관계기관과 조사. 토의하고 IP 주소지 확인하고. 중국 IP로 나왔고, 사내 IP인지 아닌지 일부 점검. 그 당시는 중국 IP로 나왔고. 악용됐는지 서버 로그와 IP 할당정책 확인해 봤더니 사내 정책에 따라 중국 IP 사설로 쓰는 걸로 나옴. 조사를 하면 다양한 공격 유포지, 경유지 나올 수 있을 것.
-중국 IP 확인 시점과 아닌 거 확인된 시점?
=당일 새벽에 보고 받아 브리핑 받아 포함시켰는데. 관계기관에서 분석했고... 오후 18시 정도에 아닐 가능성도 있다는 보고 있음. 21일 10시에 브리핑했고, 21일 18시에 아닐 수 있다는 보고 받아. 같은 실수 반복할까봐 수차례 확인.
=이런 사태가 국민에게 감추는 것처럼 보일 것 같아 이계철 위원장 지시로 이 내용 발표하는 거다.
국민일보 쿠키뉴스 홍해인 기자 hihong@kmib.co.kr
