3차 해킹까지 예고하며 ‘해킹대란’을 일으킨 공격자의 인터넷 주소가 미국 인터넷프로토콜(IP)이라는 주장이 나왔다.
국내 보안업체 쉬프트웍스는 악성코드 유포지가 미국 IP인 ‘75.151.XXX.XXX’로 밝혀졌다고 9일 밝혔다. 이는 국가정보원이 공격을 가한 근원지가 북한 IP로 추정된다고 발표한 것에 정면으로 반하는 것이다.
쉬프트웍스 홍민표 대표는 “악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 인터넷 주소의 가상서버였다”며 “그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성코드 유포는 막을 수 있다”고 설명했다. 이미 해커가 제어하는 PC가 되어버린 경우 예정된 대로 9일 오후 6시로 예정된 3차 해킹공격에 이용당하지만 앞으로의 피해는 줄일 수 있다는 것이다. 쉬프트웍스는 분산서비스거부(DDoS)에 이용되는 악성코드인 ‘마이둠’ 안에는 ‘독립기념일을 기리며(Memory of the Independence Day)’라는 문구가 명확히 담겨 있다고 설명했다.
특히 국정원의 북한 IP 주장에 대해 홍 대표는 “북한의 경우 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다”며 “그렇지 않다 하더라도 이런 대규모 공격을 할 땐 IP를 세탁하기 때문에 북한 IP인지 알아채기 어렵다”고 부정했다. 또 국정원이나 미 정부당국에서 북한 IP라는 근거자료를 내놓지 않는 것도 의심된다고 말했다.
홍 대표는 공격자가 누구인지에 대해서는 “알 수 없지만 서버를 찾기도 까다롭게 해놓고 서버에 접속한 로그기록을 전부 지운 걸 보면 아주 수준급의 실력자”라고 평가했다. 그는 이어 “무엇보다 이미 악성코드에 감염된 PC 사용자들이 빨리 삭제프로그램으로 지워야 한다”며 “마이크로소프트(MS) 윈도의 취약점을 이용해 패치 이전의 공백을 노린 ‘제로데이’ 공격인 만큼 윈도 패치가 빨리 나오는 것도 중요하다”고 강조했다.
쉬프트웍스의 주장이 사실로 분석될 경우 국정원은 난감한 상황에 몰릴 것으로 보인다. 국정원이 공격자의 IP를 북한으로 추정한 근거에 대해 설명하라는 압력 또한 거세질 전망이다.
/fxman@fnnews.com 백인성기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지