!["10점 만점에 11점"…英 독설 심사위원 놀래킨 '3분 태권 무대' [영상]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202406/16/2b284bb2-8e01-43b7-8a9e-8da5c241b0ea.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
세 차례에 걸친 한국과 미국의 주요 기관에 대한 디도스(DDoS) 공격의 범인이 동일할 가능성이 크다고 경찰이 밝혔다.
9일 경찰청 사이버테러대응센터에서 수사관이 지난 7, 8일 이틀 동안 디도스(DDoS) 공격에 사용된 좀비PC의 하드디스크를 보여주고 있다. [연합뉴스]
경찰청 사이버테러대응센터 김재규 센터장은 9일 “악성코드가 실행되는 방식, 공격 대상, 공격 시간 등을 고려했을 때 7일, 8일과 9일 저녁 사흘간의 공격 근원지가 같을 가능성이 상당히 크다”고 밝혔다. 7일 오후 7시쯤 청와대와 국방부 등 한·미 26개 인터넷 사이트에 이어 8일 오후에는 국정원과 안철수연구소 등 16개 기관, 9일에는 행정안전부 등 7개 사이트에 대한 공격이 이뤄졌다.
경찰이 세 공격의 근원지(범인)를 동일하다고 판단하는 가장 큰 이유는 악성코드의 실행 방식이다. 일반 PC를 감염시킨 악성코드는 ‘어떤 사이트를 언제 공격하라’고 완벽하게 프로그래밍돼 있었다. 이는 기존의 디도스 공격과는 차별화된다. 중간 사령부 격인 C&C(Command & Control)서버와 연결되지 않아도 알아서 자동으로 공격을 실행하기 때문이다. 경찰 관계자는 “공격 대상이 미국과 한국의 주요 기관이라는 점과 비슷한 시간대에 동시다발적으로 일어난다는 점도 근원지를 동일하게 보는 근거가 된다”고 말했다.
경찰은 3차 공격이 이어짐에 따라 여기에 활용된 좀비PC(감염된 PC)를 확보해 역추적을 계속하겠다고 밝혔다. 경찰 관계자는 “1차와 2차에 활용된 PC에 대한 분석과 함께 3차분 PC도 조사할 계획이다”고 밝혔다.
경찰은 IP추적을 통해 1차 피해 사이트인 네이버·농협·외환은행·조선일보에서 로그 기록을 확보했다. 이를 통해 약 2만3000대의 PC가 감염된 사실을 밝혀냈다. 경찰은 또 “2차 공격을 받은 국민·하나은행을 통해 1만6000대의 좀비PC가 공격에 활용됐다”고 밝혔다. 피해 사이트를 통한 역추적 끝에 경찰은 1차 공격에 사용된 좀비PC 4대와 2차 때의 PC 2대를 수거했다.
경찰 관계자는 “감염된 PC는 한 지역에 집중돼 있지 않다. 우선 수거작업이 쉬운 서울의 PC들을 가져온 것”이라고 설명했다. 수거한 좀비PC는 C&C서버를 역추적할 수 있는지, 그를 통해 근원지를 찾을 수 있는지 등을 분석하는 데 쓰인다. 경찰 관계자는 “이미 완전히 프로그래밍된 코드에 감염된 PC여서 지휘서버(C&C)가 필요 없을 수 있다. 이 때문에 역추적이 상당히 까다롭다”고 설명했다.
경찰 수사 결과 1, 2차 공격에 활용된 좀비PC는 서로 겹치지 않는 것으로 드러났다. 서로 다른 경로를 통해 감염된 PC들이 사이트를 공격하고 있는 것이다. 한국정보보호진흥원에 따르면 1, 2차 공격에 활용된 PC 중 1000여 대만이 중복되는 것으로 알려졌다.
경찰 관계자는 “한 악성코드가 여러 공격을 수행하는 것이 아니라 각 악성코드의 임무(공격할 대상)가 다른 것으로 보인다”며 “이 코드가 불특정 다수의 PC에 무차별적으로 감염된 것 같다”고 말했다.
강인식 기자
