헤럴드경제

9일 저녁 6시 3차 DDoS(분산서비스거부) 공격을 감행한 '사이버 테러'의 공격자가 미국 중서부에 등록돼 있는 IP(인터넷 주소)를 사용하고 있는 것으로 파악됐다는 주장이 나왔다. 국내 보안전문업체 쉬프트웍스 측은 이날 "연구원들과 함께 14시간에 걸쳐 악성코드를 분석한 결과 악성코드의 최초 유포지가 미국 IP(75.151.xxx.xxx)라는 사실을 밝혀냈다"고 말했다. 이는 사이버 테러에 사용되고 있는 악성코드의 최초 유포지가 미국일 가능성이 있음을 뜻한다.

이 같은 주장은 그간 국정원과 미국 정부 측에서 인터넷 주소가 북한으로 추적됐으며, 사이버 공격의 배후에 북한이 자리잡고 있다는 주장과 배치되는 것이어서 논란을 일으키고 있다. AP통신은 지난 8일 익명을 요구한 미국 정부 관계자 3명의 말을 인용, 사이버 공격을 한 인터넷 주소를 추적해 보니 북한으로 드러났다고 보도했다. 또 폭스뉴스는 사이버 공격이 실질적으로 시작된 시점은 지난 4일이 아니라 일주일 전이라고 덧붙였다. 워싱턴포스트는 사이버 공격을 받은 곳이 자사를 포함해 모두 35곳이라고 전했다.

이 업체는 테러 공격자가 미국에 서버를 두고 공격을 시작했을 가능성에 무게를 두고 있다. 이 업체 관계자는 "악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 인터넷 주소의 가상 서버가 나왔다"며 "서버의 시계도 한국보다 11시간 늦은 미국 중서부의 현지시간에 맞춰져 있었다"고 전했다. 이 관계자는 특히 "여러 경로로 확인한 결과 이번에 발견한 IP는 가상 서버에 딸린 가상 IP가 아니라 확실한 미국 IP"라고 단언했다.

이 업체는 미국과 국정원의 주장대로 북한 IP일 가능성은 거의 없다고 주장한다. 북한에서 외부 인터넷을 사용할 때 주로 중국 IP를 사용하기 때문이다. 실제 북한은 ICANN(국제인터넷주소관리기구)로부터 지역별 IP 주소를 부여받지 못하고 있는 상황이기 때문에 추적 자체가 안 된다는 게 많은 전문가들의 의견이다. 따라서 "문제의 공격자가 국정원 관측대로 북한 또는 종북세력일지는 몰라도 IP 주소가 북한이라는 주장은 동의하기 어렵다"는 것이다.

또 다른 보안업체인 업체인 A사도 "IP 주소는 얼마든지 세탁이 가능해 범인의 단서로 의미가 없다"며 "마음만 먹으면 청와대 주소로도 조작이 가능한 것이 사실인 만큼 이를 근거로 북한 배후설을 주장하는 것은 무책임하다"고 덧붙였다. 정부기관의 한 관계자도 "기술적으로 북한이 진원지라는 근거는 나올 수도 없고 들어본 바도 없다. 근거 없는 주장일 가능성이 크다"고 말했다.

그러나 "미국 서버에서 유포됐다"는 이 업체의 주장도 한계를 안고 있다. 실제 물리 서버를 찾은 것은 아니며, IP주소는 얼마든지 '세탁'될 수 있기 때문이다. A보안업체의 한 관계자도 "기술적으로 이번 사태의 배후를 찾을 수 있는지부터가 의문"이라며 "이번 공격은 기법상 추적이 사실상 불가능하다"고 말했다.

조용직 기자/yjc@heraldm.com- `헤럴드 생생뉴스` Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -