정부 발표 뒤집은 ‘사설IP’, 도대체 뭐길래?

정부가 지난 20일 발생한 주요 방송·금융사의 전산망 마비 사태와 관련 악성코드가 침투된 것으로 밝혀진 중국IP가 알고보니 국내 사설IP로 밝혀져 논란이 일고 있다.

민·관·군 합동대응팀은 21일 “농협 시스템에 대한 분석 결과, 중국IP(101.106.25.105)가 업데이트 관리 서버에 접속해 악성파일을 생성했음을 확인했다”고 발표했다.

하지만 하루 뒤인 22일 “전날 발표한 농협 해킹이 의심된 중국IP에 대해 피해서버 접속기록 및 IP 사용현황 등을 정밀 분석한 결과, 내부 직원이 사내 정책에 따라 사설IP로 사용하고 있는 것으로 확인됐다”고 번복했다.

사설IP는 국제기구가 공식적으로 할당하는 공인IP가 아닌 기업이 내부용 망에서 사용하는 IP다. 원래는 사설IP에 관한 국제 기준이 있지만 농협은 이 기준을 따르지 않았다.

이로 인해 우연히 중국에 할당된 실제 공인IP와 농협이 만든 사설IP가 일치한 것으로 알려졌다.

하지만 이같은 사설IP 사용이 불법은 아니다. 국제기준은 권고사항으로 공인IP가 부족해 많은 기업들이 사설IP를 사용하고 있다.

국제 기준에 따라 할당된 사설IP 대역은 ‘10.0.0.0~10.255.255.255’, ‘172.16.0.0~172.31.255.255’, ‘192.168.0.0∼192.168.255.255’ 등이다.

농협 직원이 사용한 것으로 알려진 이 PC의 IP는 101.106.25.105로 중국 공인IP 대역에 해당한다.

합동대응팀은 사건 조사과정에서 이 주소가 공인IP 대역의 숫자를 사용하고 있어 사설IP라는 사실을 간과했다. 이로 인해 해킹 공격이 중국을 경유했다고 잘못 판단해 발표하는 실수를 범했다.

이재일 한국인터넷진흥원(KISA) 인터넷침해대응센터 본부장은 “어제는 국민에게 가급적 자세한 정보를 말하는 것이 좋다고 생각했다”며 “실무조사팀이 중국IP로 확인했다고 보고한 것을 2차, 3차로 점검했어야 했는데 그런 노력에 소홀했다. 이제는 확실한 증거가 나오면 발표하겠다”고 해명했다.