공인 IP주소와 사설 IP주소 차이 간과한 듯
민·관·군 합동대응팀이 농협의 내부 IP에서 이뤄진 공격을 중국발 공격으로 오인한 것은 공인 IP주소와 사설 IP주소의 차이를 간과했기 때문으로 보인다.IP주소는 인터넷규약주소를 뜻한다. 네트워크에 연결된 모든 기계는 번호로 된 고유의 IP주소를 가지고 있어야 한다.
IP주소는 중복되면 안 되기 때문에 국제인터넷주소관리기구(ICANN)가 나라별로 대역을 할당한다.
이에 따라 IP주소만 보면 해당 기기가 정확히 어디에 있는지는 몰라도 어느 나라에 있는지는 쉽게 알 수 있다.
대응팀이 농협 시스템에서 발견했다고 밝힌 101.106.25.105는 중국이 소유한 IP주소 대역에 속한다. 대응팀이 이 IP주소를 보고 이번 해킹이 중국발 공격이라고 단정한 이유도 그 때문이다.
문제는 이런 IP주소의 속성이 모두 공인 IP주소에 한해서 그렇다는 점이다.
일반적으로 기업의 사내 망에서는 기기 각각에 임의의 숫자로 된 사설 IP주소를 부여한다.
이는 사내에서만 쓰는 주소이므로 외부의 다른 IP주소와 겹쳐도 문제가 되지 않는다.
실제로 가정용 인터넷 공유기 대부분이 연결된 기기에 보통 ‘192.168.0.X’라는 IP주소를 부여하는데도 네트워크에 아무런 문제가 생기지 않는 이유다.
정부 대응팀은 농협시스템을 분석한 결과 101.106.25.105라는 IP가 서버에 접속해 악성파일을 생성했다는 이유로 이를 중국발 공격으로 단정했다.
대응팀이 이 주소가 사설 IP주소일 수 있다는 점을 간과한 것이 문제였다. 해당 주소가 농협이 내부에서 쓰기 위해 설정한 사설 주소였던 것이다.
결국 외부에서 침입한 해커가 이 사설 주소를 경유해 백신 소프트웨어 배포관리 서버에 접속하고, 악성코드를 생성했다는 결론이 나온다.
농협도 사내에서 해당 IP주소를 생성해 사용하고 있다는 사실을 시인한 것으로 알려졌다.
대응팀이 발견한 IP주소가 사설 주소라는 점을 간과한 이유는 이 주소가 사설 IP주소 대역으로 지정되지 않은 점 때문으로 보인다.
ICANN이 사설 IP주소로 할당한 주소는 10.0.0.0∼10.255.255.255, 172.16.0.0∼172.31.255.255, 192.168.0.0∼192.168.255.255 등이다.
연합뉴스