농협 사설IP, 공인IP와 헷갈렸나? - 전산망 해킹

전산망 해킹에 사용된 중국 IP주소(101.106.25.105)와 같은 농협 사설IP주소가 발견돼 다시 처음부터 분석해야겠네요. 이전의 공격과는 조금 다른 패턴의 공격과 악성활동 탓에 복구작업에 힘쓰려다, 사설 IP를 공인 IP로 잘못 결론 내렸나 보군요.

농협 사설IP - 사설IP는 공유기만 있으면 된다.

공유기(AP)만 있으면 사설 IP는 문제없다.

장비만 있으면 사설 IP는 얼마든지 만들어 낼 수 있죠. A~E클래스 까지 어마어마한 사설망을 구축할 수 있습니다.

농협 사설IP - C클래스

개인에게 많이 할당되는 C클래스 사설 IP

가정집에서 사용하는 일반 장비(AP:공유기)를 이용하면 보통 192.168.X.X 로 할당되죠. 대략 계산상으로 250대까지 할당이 가능한 망 시설입니다.

일반적으로 사용되는 대역 대는 통상 다음과 같습니다.
· A클래스 : 1.0.0.0 ~ 126.255.255.255
- A사설 : 10.0.0.0 ~ 10.255.255.255
· B클래스 : 128.1.0.0 ~ 191.254.255.255
(※ 127. 은 로컬호스트로 개인 IP로는 불가능합니다. '루프백')
- B사설 : 172.16.0.0 ~ 172.31.255.255
· C클래스 : 192.1.1.0 ~ 223.255.254.255
- C사설 : 192.168.0.0 ~ 192.168.255.255
(※ D와 E클래스는 연구용 또는 미래를 위한 예약 망으로써 사용할 수 없습니다.)

전산망 해킹 마무리

농협에서 사용한 사설 IP 대역은 101.106.25.105 은 중국 IP 대역과 같습니다. 근데 왜 권장 사설대역을 사용하지 않고 일정국가가 사용하는 대역을 사용하는 걸까요?. 처음 조사 때는 사설망에 대한 말을 하지 않아서 지금 상황까지 온 건 아닌가 하는 예상도 하게 되네요.

일반적으로 기업에서는 B클래스에 해당하는 사설대역을 사용합니다. (※ 계산상으로 6만 5천 대 정도 할당할 수 있습니다.) 그런데, 대역 대를 보면 A클래스 쪽에 가깝다고 봐야 할 거 같은데, 권장 A클래스 대역만 봐도 계산상으로는 1,600만 대 가량 할당 가능합니다.

IP 대역만 보고 섣부른 추측과 의심에 다시 처음으로 돌아가게 생겼네요. 개인적인 예상이지만 종결까지 4~7개월은 걸릴 거 같네요. 대응팀 여러분 고생하는 건 알고 있지만, 차근차근 확실히 섣부른 판단하지 않고 분석하였으면 좋겠습니다.

그나저나 누가 했는가 보다, 무엇을 위해 왜 했는지가 더 궁금하네요.

뜬금없는 해킹공격에 방어 및 분석을 하느라 수고 많으신 합동대응팀 개발자(관계자) 여러분 진심으로 감사합니다.

작성자 : 해커 C (Hackerc.com)