3차 DDoS(분산서비스거부) 공격까지 예고하며 한국과 미국의 인터넷 사이트를 교란하고 있는 공격자가 미국 중서부에 등록돼 있는 IP(인터넷 주소)를 사용하고 있는 것으로 파악됐다. 이는 베일에 가려진 공격자가 미국 어딘가에 서버를 두고 공격을 시작했다는 사실을 의미한다.

국내 보안전문업체 쉬프트웍스의 홍민표 대표는 9일 한국경제신문과 가진 단독 인터뷰에서 "연구원들과 함께 14시간에 걸쳐 악성코드를 분석한 결과 악성코드의 최초 유포지가 미국 IP(75.151.x x x.x x x)라는 사실을 밝혀냈다"고 말했다. 홍 대표는 "악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 인터넷 주소의 가상 서버가 나왔다"며 "서버의 시계도 한국보다 11시간 늦은 미국 중서부의 현지시간에 맞춰져 있었다"고 말했다. 위장 IP 가능성 여부를 묻는 기자의 질문에 홍 대표는 "여러 경로로 확인한 결과 가상 서버에 딸린 가상 IP가 아니라 확실한 미국 IP"라고 단언했다.

이 같은 분석은 공격자의 인터넷 주소가 북한으로 추적됐으며,사이버 공격의 배후에 북한이 자리잡고 있다는 미국 정부 측 주장과 다른 것이어서 주목된다. AP통신은 지난 8일 익명을 요구한 미국 정부 관계자 3명의 말을 인용,사이버 공격을 한 인터넷 주소를 추적해 보니 북한으로 드러났다고 보도했다. 또 폭스뉴스는 사이버 공격이 실질적으로 시작된 시점은 4일이 아니라 일주일 전이라고 덧붙였다. 워싱턴포스트는 사이버 공격을 받은 곳이 자사를 포함,모두 35곳이라고 전했다.

홍 대표는 이 같은 보도에 대해 "북한의 경우 외부 인터넷을 이용할 때 주로 중국 IP를 사용한다"며 "문제의 공격자가 국정원 관측대로 북한 또는 종북세력일지는 몰라도 IP 주소가 북한이라는 주장은 동의하기 어렵다"고 말했다. 실제 북한은 ICANN(국제인터넷주소관리기구)으로부터 지역별 IP 주소를 부여받지 못하고 있는 상황이기 때문에 추적 자체가 안 된다는 게 많은 전문가들의 의견이다.

IP 주소가 미국이냐 북한이냐는 공격자의 신원을 밝히는 결정적 단서는 아니지만 정보당국이 수사의 실마리를 풀어나가는 출발점이 된다는 측면에서 향후 상당한 관심을 모을 것으로 보인다.

민지혜 기자/워싱턴=김홍열 특파원 spop@hankyung.com