今月２０日、放送・金融６社のシステム障害を起こした悪性コードが中国から入ったという韓国政府の発表はでたらめだった。

放送通信委員会と警察庁・韓国インターネット振興院（ＫＩＳＡ）などで構成された官民軍合同対応チームは２２日、「２１日の農協ハッキングに利用されたと発表したＩＰアドレスは、中国ではなく農協内で使用していたものと確認された」と明らかにした。

国際インターネット規約によると、国別に使用できるＩＰアドレスが決められている。このためハッキングを受けた農協サーバーに中国ＩＰで接続したと判断され、ハッカーが中国を通じて入ったと発表したのだ。実際には農協がイントラネット用として付与した仮想ＩＰだった。

匿名を求めた保安関係者は「銀行と放送局のシステムが同時多発的に打撃を受ける“サイバー戦争”の渦中に弾丸がどこから飛んでくるか分からず、とんでもない方向に向かったようだ。ＩＰアドレスの追跡はハッカーを捜し出すうえで基本的な段階だが、実際のアドレスか仮想アドレスかということも確認しない初歩的なミスをしたのが理解できない」と述べた。

こうした政府のミスのため、実際に北朝鮮ハッカーが中国サーバーを通じて入ったと明らかにしても信頼度が落ちるしかない。政府は相変わらず海外サーバーを経由した北朝鮮の仕業という心証を持っている。合同対応チームは、６つの機関の攻撃に動員された技法や悪性コードの類似性が高いため、現在も同一グループの仕業という立場だ。

ＫＩＳＡのイ・ジェイル・インターネット侵害対応センター本部長は「農協とともにハッキングにあったＭＢＣ・ＹＴＮ・新韓銀行のコンピューターを調べた結果、海外から接続したと疑われるＩＰアドレスを見つけた」と明らかにした。ただ、具体的な海外ＩＰアドレスが公開される場合、該当国の抗議を受けると同時に捜査が難しくなる可能性があるため、国家名は明らかにしないことにした、と説明した。イ本部長は「農協のアップデート管理サーバーを攻略したコンピューターが中国ではなく農協内部のものだとしても、農協の職員や国内の人がハッカーという意味ではない」とし「ハッキング前に該当コンピューターに接続したＩＰが海外か国内か確認するためにログ（サーバー接続記録）分析をしていく」と述べた。

しかしハッカーの正体を立証するのは容易ではない見通しだ。ハッカー出身のセキュリティー専門家は「国内サーバーを対象にしたハッキングのほとんどは中国ＩＰを通じて入ってくる」とし「ＩＰアドレスを明らかにしても中国現地でハッカーが接続記録を変造したりコンピューターを廃棄してしまえば、証拠を探すのは不可能になる」と述べた。

一方、合同対応チームはこの日、「新韓銀行と済州銀行は復旧を完了して正常化し、農協は復旧作業が進行中」とし「ただ、多数のコンピューターが被害を受けた放送局の復旧率は１０％水準にとどまっている」と説明した。

政府は追加ハッキング被害を予防するため、国務総理室の主宰で情報通信基盤保護委員会を構成、この日午後３時から電力・交通関連の１３９機関と２０９施設に対するサイバー侵害事故対応システム点検を始めた。実際に金融機関・放送局が攻撃を受けた２０日前後、朝鮮日報へのサイバー攻撃もあったことが確認された。