해킹팀 문건에 유명 한국IP주소 포함 논란

IP주소만으로 민간 사찰 입증하긴 쉽지 않아

컴퓨팅입력 :2015/07/20 15:50    수정: 2015/07/21 12:54

손경호 기자

이탈리아 도감청 전문업체인 해킹팀으로부터 유출된 내부 문건 중 국내서 사용되는 IP주소 138개가 발견되면서 해당 IP가 어떤 용도로 쓰였는지가 쟁점으로 부상했다. 국가정보원 민간인 사찰 의혹이 불거진 상황이라 상당한 논란이 예상된다.

보안전문가들에 따르면 IP주소는 어떤 방식으로든 위변조될 수 있기 때문에 이를 국정원이 민간인 사찰을 시도했다는 혐의를 입증하기 위한 결정적 증거로 사용하기에는 무리가 따른다. 더구나 자료의 성격상 외부로부터 해킹팀에 유입된 트래픽에 대한 정보를 기록한 것이라 민간인 사찰 의혹과 연관성을 찾기는 쉽지 않을 것으로 전망된다.

20일 국회 정보위원회 간사를 맡고 있는 신경민 의원(새정치민주연합)이 분석한 자료에 따르면 'log.csv', 'log(2).csv'라는 접속기록을 담은 문서파일에 국내서 사용되는 IP주소 138개(중복제외)가 발견된 것으로 확인됐다.

이들 IP주소가 KT, 서울대, 다음카카오, KBS 등에서 사용하고 있는 것으로 확인되면서 해킹팀이 국내서 어떤 정보를 수집해가기 위한 것이 아니냐는 의혹이 제기됐다. 이와 관련 국정원측은 유출된 로그파일은 해킹팀의 자체 방화벽 로그파일로 추정된다며 해킹팀 웹사이트에 대한 분산서비스거부(DDoS) 공격 등을 차단하기 위한 용도였던 것으로 파악하고 있다고 해명했다. 유출된 파일을 보면 따로 수집한 정보를 보낸게 아니라 해당 IP를 차단했다는 내용이 들어있어서 DDoS 공격에 대한 대응으로 보인다는 것이다.

해당 파일들은 2014년 3월4일 오후1시5분, 3월4일 오후3시45분경에 각각 작성됐다. 트래픽을 전송한 곳의 IP주소와 목적지IP주소, 이와 관련해 어떤 보안정책을 적용했는지에 대한 내용을 다루고 있는 것으로 보인다. 보안정책을 지칭하는 '룰(Rule)'이라는 항목에 '모두 접속불가(Deny all)'라는 문구도 포함됐다.

관련기사

익명을 요구한 침해사고대응전문가는 "보안전문가들 사이에서 해킹팀이 전 세계로부터 간헐적인 DDoS 공격을 받았다는 정황이 있었다는 의견들이 제시되고 있으며, (한국을 포함한) 전 세계 IP주소가 해킹팀 웹서버에 접속을 요청을 하는 것만으로는 의심할 건은 아닌 것 같다"는 의견을 밝혔다.

이어 "만약 국정원이 실제로 해킹팀과 국내 민간인 사찰에 대한 정보를 교환했다고 하더라도 (IP주소를 명시하는 것과 같이) 그렇게 허술하게 로그기록을 남겼을 것이라고 보지는 않는다"고 덧붙였다.