북한IP는 찾았는데 청와대 정보 유출 시점 모른다?

글자 작게 글자 크게 인쇄하기

풀리지 않은 6·25 사이버 공격

미래창조과학부는 지난 16일 과천청사에서 브리핑을 갖고 6월 25일 청와대와 국무조정실 등과 민간기관을 공격한 연쇄 사이버 공격이 북한의 해킹 수법과 일치한다고 밝혔다. 6·25 사이버 공격 배후로 북한을 지목한 것이다. 그런데 이번 사건에 궁금증은 여전하다. 배후가 북한이란 것 외에는 제대로 밝혀진 게 없어서다.

박재문 미래창조과학부 정보화전략국장이 지난 16일 오후 경기도 과천시 관문로 정부과천청사 미래창조과학부 기자실에서 `6.25 사이버공격 조사 결과` 관련 브리핑을 하고 있다.
<박재문 미래창조과학부 정보화전략국장이 지난 16일 오후 경기도 과천시 관문로 정부과천청사 미래창조과학부 기자실에서 `6.25 사이버공격 조사 결과` 관련 브리핑을 하고 있다.>

◇북한 IP는 어디에

정부는 6·25 사이버 공격을 북한 소행으로 판단한 가장 큰 이유로 `북한 IP`를 들었다. 일부 피해기관과 악성코드 경유지에서 북한 IP가 발견됐다고 강조했다.

그러나 이 IP가 보이질 않는다. 정부는 지난 3월 20일 발생한 사이버 테러 중간 조사 발표에서는 IP를 밝혔다. 북한 내부 인터넷 주소라며 `175.45.178.xx`라는 숫자를 공개한 것이다.

게다가 당시 합동조사단은 2월 22일 이 주소에서 감염 PC에 명령을 하달하기 위해 국내 경유지에 시험 목적으로 처음 접속한 것으로 확인됐다며 구체적인 시점과 방법까지 밝혔다.

권석철 큐브피아 사장은 “이번 6·25 건은 복구 중 IP를 발견했다고 했는데, 복구 화면이라든가 관련된 증거자료가 없었다”며 “납득할 만한 근거 없이 북한이라고만 강조해 오히려 신뢰를 잃을 것 같아 아쉬웠다”고 말했다.

보안상의 이유로 일부 정보가 제한될 수 있다. 하지만 미래부의 발표가 있기 전인 지난 12일 서울 내곡동 국가정보원에서 열린 민간 보안전문가들과의 기술검증 자리에서도 정부는 북한 IP를 공개하지 않은 것으로 알려졌다. 한 참석자는 “기술적 데이터보다는 개괄적인 내용의 발표 위주로 진행됐다”고 전했다. 객관성을 담보하는 기술검증의 취지와는 어울리지 않는 대목이다.

◇청와대 회원정보 유출 시점은 확인 불가

또 다른 의문은 청와대 홈페이지의 회원정보 유출과 관련된 부분이다. 이번 6·25 공격으로 청와대 홈페이지가 바뀌면서 회원들의 이름, 주소 등 개인정보가 해킹에 빠져나간 사실이 외부로 드러났다. 그것도 청와대를 공격한 해커들이 자료 습득 사실을 대외 공개해서다.

정부는 회원정보 유출 역시 북한이 한 것으로 보고 있다고 밝혔다. 미래부는 16일 브리핑에서 “6·25 공격 주체가 북한이었기 때문에 (회원정보 유출도) 북한의 행위인 것으로 추정하고 있다”고 말했다. 그러나 유출 시점은 알지 못했다. 미래부는 “시스템이 파괴돼 개인정보가 해킹 과정에서 유출됐는지, 해킹 준비과정에서 유출된 것인지는 확인할 수 없었다”고 말했다.

로그가 삭제되고 하드디스크가 파괴되는 상황에서도 북한 IP를 찾아낸 것과는 대조적인 모습이다. 유출 시점에 정부 설명이 쉽게 납득되지 않는 이유다. 이번 민관군 합동조사가 공격 주체를 밝히는 데만 몰두하거나 조사 범위가 특정돼 있던 것 아니냐는 해석이 나온다.

미래부는 이번 조사가 국내에서 확인할 수 있는 정보나 경유지 정보들 거기에 대한 시스템 분석이 이루어진 것이며, 국제 공조로 경유지가 되는 해외 서버들도 확보해서 추가적으로 계속 조사할 예정이라고 밝혔다. 앞으로의 조사와 경찰의 수사 등에서 의문이 해소될지 주목된다.

윤건일기자 benyun@etnews.com