사이버테러 공격자의 인터넷 주소가 미국 IP로 밝혀졌다는 주장이 나와, 북한 또는 종북세력 배후 의혹을 제기한 국가정보원을 당혹케 하고 있다.
국내 보안전문업체 <쉬프트웍스>의 홍민표 대표와 이대로 연구원은 9일 디오스 악성코드를 14시간 가량 직접 분석한 결과, 악성코드의 유포지가 미국 IP(75.151.XXX.XXX)임을 확인했다고 발표했다.
홍 대표는 “악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려있는 미국 인터넷주소의 가상서버였다”며 “그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성코드 유포는 막을 수 있다”고 말했다.
그는 공격자가 누구인지에 대해선 “누군진 알 수 없지만 서버를 찾기도 까다롭게 해놓고 서버에 접속한 로그기록을 전부 지운 걸 보면 아주 수준급의 실력자일 것”이라면서도, 국정원의 북한-종북세력 배후설에 대해선 “북한의 경우 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다. 그렇지 않다 하더라도 이런 대규모 공격을 할 땐 IP를 세탁하기 때문에 북한 IP인지 알아채기 어렵다”고 반박했다.
그는 또 국정원이나 미 정부당국에서 북한 IP라는 근거자료를 내놓지 않는 것도 의심된다고 덧붙였다.
이들에 따르면 악성코드의 파일 안에는 ‘독립기념일을 기리며(Memory of the Independence Day)’라는 문구가 담겨 있으며 이를 열어보거나, 또는 감염 사이트에서 자동으로 다운 로드되면서 감염이 일어난다. 홍 대표는 “무엇보다 이미 악성코드에 감염된 PC 사용자들이 빨리 삭제프로그램으로 지워야 한다”며 “MS 윈도 취약점을 이용한 제로데이 공격인만큼 윈도 패치가 빨리 나오는 것도 중요하다”고 지적했다.
미국의 <뉴욕타임스>도 8일(현지시간) 인터넷판 기사를 통해 "이번 공격을 추적하고 있는 연구자들은 이러한 공격이 지난 4일부터 미국 정부 웹사이트의 소규모 그룹을 중심으로 시작되었으나 이후 미국 내 상업 사이트들까지 그 범위가 확대됐으며 이후 한국의 상업 및 정부 사이트까지 확대됐다고 말했다"며 진원지가 미국임을 분명히 했다.
이처럼 사이버테러 진원지가 미국내 IP로 밝혀질 경우 북한-종북세력 추정 의혹을 제기해온 국정원 등은 커다란 역풍에 직면할 게 불을 보듯 훤해 귀추가 주목된다.