방통위 중심의 민관군 합동조사팀은 방송·금융기관 전산망마비 해킹사건이 중국서버를 경유한 북한 소행이 유력하다고 밝힌지 하루만에 중국이 아닌 농협 내부 컴퓨터를 통해 악성코드가 유포됐다고 조사결과를 번복해 정부의 사이버대응능력 신뢰도가 끝없이 추락하고 있다.
대응팀이 전날 발표내용을 번복한지 이틀후인 24일 경찰청은 이번 해킹사고의 경우 미국, 유럽 등 4개국을 경유해 농협 PC를 뚫은 것이라고 발표, 혼란을 가중시키고 있다.
이에 따라 중국서버를 경유해 농협 내부 PC에 침투했다며 ‘북한 소행설’을 유력하게 제기했던 정부는 큰 오점을 남기게 됐다.
이재일 한국인터넷진흥원(KISA) 인터넷침해대응센터 본부장은 “국민의 알권리를 위해 빠르게 사실을 알리려고 실무진의 말만 듣고 발표한 것이 문제였다”면서 “향후에는 1차, 2차, 3차의 절차를 거쳐 정확한 사실만을 국민에게 알리겠다”고 밝혔다. 최문기 미래창조과학부 장관 후보자도 24일 번복발표에 대해 강하게 질타하기도 했다.
정부의 오락가락 갈지자 행보와중에 민간 보안업체에서는 기존 오후 2시에 공격을 시작했던 악성코드 외에 오후 3시 추가적인 공격을 하도록 설정된 변종 악성코드를 발견했다고 24일 밝혔다. 이는 처음공격이 실패할 경우 추가로 2차 공격을 하도록 했다는 의미다.
잉카인터넷은 컴퓨터 시간이 3월 20일 오후 3시 이후부터 MBR 등의 파괴기능을 수행하는 변종 악성코드의 경우 시스템폴더 경로에 ‘schsvcsc.exe’, ‘schsvcsc.dll’ 파일을 생성하고, ‘lsass.exe’ 정상 프로세스에 투입돼 작동한다고 밝혔다.
또 한글 문구 등이 포함된 새로운 변종이 발견돼, 관련성 여부 및 코드분석이 진행 중에 있으며 변종도 꾸준히 발견되고 있다.
민간정보업체가 새로운 변종 악성코드를 발견할 동안 정부의 신뢰도는 날이 갈 수록 바닥으로 떨어지고 있다.
전산망 마비 사건이 발생한지 1시간 뒤 민관군 합동조사팀을 꾸려 늦장 대응을 하는가 하면, 21일에는 “농협내에서 중국 IP를 발견했다”고 발표했다가 하루만에 “농협에서 발견된 IP는 중국 IP가 아닌 농협내 사설 IP”라고 조사결과를 번복하기도 해 정부 발표보다 민간 보안업체가 더 정확하고 신속한 발표를 하고 있다는 비판을 피할 수 없게 됐다.
여기에 청와대는 방통위가 중국 IP를 발견했다고 밝힘과 동시에 “북한 소행이 의심된다”는 확인되지 않은 사실을 언론에 흘기도 해 정부가 해킹 사건을 이미 북한의 소행으로 결론을 내리고 수사를 진행하는 것 아니냐는 지적도 나오고 있다.
한편 정부가 ‘오락가락’ 발표를 하는 사이, 업체들은 악성코드 변종 바이러스를 추가로 발견했다고 밝혀 방송 은행들의 전산망은 완전 복구하기도 전에 2, 3차 공격이 우려되는 상황을 맞고 있다.