양낙규기자
국정원 직원 유서 발견 /아시아경제 DB
[아시아경제 양낙규 기자]국가정보원이 자살한 직원 임모씨의 삭제자료를 복원하겠다고 나섰지만 복원이후에도 '도돌이표 논란'만 이어질 것이라는 우려의 목소리가 나오고 있다. 국정원은 삭제된 자료 내용을 이달 안에 100% 복원해 국회 정보위원회 소속 위원들에게 공개하겠다는 입장이다. 국정원이 자료를 복원할 경우 이탈리아 보안업체 해킹팀의 유출된 로그파일에서 발견된 국내 IP 주소를 찾을 수 있을 것으로 보인다. IP란 인터넷 프로토콜(Internet Protocol)의 약자로 정보기기를 이용해 인터넷에 연결할 때 네트워크 프로그램에 꼭 입력해야 하는 일종의 사이버상 주소를 뜻한다. 인터넷을 사용하는 모든 기기는 인터넷 서비스 업체로부터 IP를 발급받아야 한다. 로그(log)파일은 기기나 네트워크의 처리 내용이나 이용 상황을 시간의 흐름에 따라 모두 기록한 파일을 말한다. 정상적인 사용자이든 해커이든 관계없이 해당 기기나 네트워크에서 벌인 모든 행적이 기록으로 남는다.이 복원자료를 놓고 새정치민주연합은 해외ㆍ북한 정보 수집용이나 실험ㆍ연구용으로만 썼다는 국정원의 해명이 거짓이라는 증거라고 공세를 펴는 반면 국정원은 해킹팀사(社)를 대상으로 한 디도스 공격의 흔적으로 추정된다며 자신과는 무관하다는 입장을 내세울 것으로 보인다. 해킹팀의 로그파일에 국내 IP 주소가 포함됐다는 것은 한국에 있는 특정IP의 기기에서 해킹팀 웹사이트에 접속한 흔적이 남았다는 것이다. 이를 근거로 새정치연합은 해킹팀이 침입 의도를 가지고 로그파일에 담긴 국내 IP 주소의 취약점을 검사하거나 검색한 것이라고 주장하고 있다. 새정치연합에 따르면 해당 로그파일에서 한국 IP는 총 138개 발견됐고, IP 할당기관으로는 KT, 서울대, 한국방송공사 등 공공기관과 다음카카오 등 일반기업이 있었다. 해킹팀이 자체적으로 이러한 국내 기관에 관심을 둘 가능성은 작고, 현재로서는해킹팀의 한국 고객이 국정원이 유일하기 때문에 국정원의 의뢰를 받은 해킹팀이 특정 IP 주소를 사용하는 국내 기관을 공격하려 했다는 논리다.반면 국정원은 해당 로그파일이 디도스(DDos; 분산서비스거부) 공격을 막기 위해 해킹팀의 방화벽이 작동한 기록이라고 주장하고 있다. 디도스란 수백만대의 PC를 원격조종해 특정 웹사이트에 동시에 접속시켜 단시간내에 과도한 트래픽을 일으키고 사이트를 마비시키는 공격을 말한다. 동시 접속에는 공격자가 국가나 지역에 상관없이 이메일 등으로 바이러스나 악성코드를 유포해 감염시킨 이른바 '좀비PC'가 이용되는데, 공격자의 C&C(명령&제어)서버와 지속적으로 통신하면서 원격으로 조정 당하게 된다. 해킹팀의 로그파일에는 한국 IP 주소 138개를 포함해 전 세계 약 70개국의 인터넷 IP 주소 4만4718건이 함께 남아있는 것으로 파악됐다. 이는 우리나라뿐만 아니라 전 세계 70개국에서 동시다발적으로 해킹팀에 접속한증거이므로 디도스 공격의 흔적이며, 한국 IP는 다른 외국 IP와 마찬가지로 해킹과 무관하게 좀비PC로 이용당했을 뿐이라는 게 국정원의 주장이다. 이처럼 새정치연합과 국정원이 서로 다른 주장을 펴는 가운데 양쪽 주장 모두 사실상 근거가 부족하며, 어느 쪽 주장이 맞는지를 확인할 방법이 없다는 것이 보안전문가들의 판단이다. 한 보안 전문가는 "사실 로그파일은 해당 서버에 접속했다는 것 이상의 의미가 있지 않기 때문에 이것만 가지고 해킹 시도인지 방화벽 작동인지를 따지는 것은 불가능하다"며 "로그파일의 실제 샘플을 확보해 분석해야 알 수 있는 내용"이라고 말했다.양낙규 기자 if@asiae.co.kr<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>