디도스(DDoS) 공격 사건을 수사 중인 경찰은 9일 악성코드에 감염된 '좀비 PC'를 확보해 해커 추적에 나섰다. 하지만 보안 전문가들은 이번 악성코드는 예전과는 달리, 해커의 실시간 지휘를 받지 않고 자동으로 공격에 나서고 있다는 점에서 해커를 역추적하기 힘들 것으로 보고 있다.
이번 디도스 공격은 해커가 중앙명령 서버(C&C)를 이용해 개인 PC에 깔린 악성코드를 원격 조정해 특정 사이트를 공격하던 과거 방식과는 확연히 다르다. 이번 공격에 동원된 '좀비 PC' 내 악성코드는 공격을 실시간 지휘하는 해커와는 아예 단절된 채 미리 설계된 공격 명령 프로그램에 따라 행동하고 있다. 이 때문에 경찰로서도 해킹 지령을 내리는 서버를 역추적, 해커의 실마리를 찾던 예전 수사 방식이 통하지 않게 된 것이다.
한 경찰 관계자는 "악성코드를 원격 조정하는 서버를 찾는 것도 쉽지 않은 일인데, 이번은 이마저도 확인이 안 돼 더욱 힘든 게 사실이다"고 말했다.
경찰이 그나마 해커 추적의 실마리로 삼고 있는 것은 악성코드의 감염 경로다. 디도스 공격의 특성상 악성코드를 퍼뜨린 데 활용된 동영상이나 MP3, 소프트웨어 등의 매개물이 있을 가능성이 높다. 경찰은 악성코드를 퍼뜨린 이 매개물을 찾아 이를 유포한 사이트를 역추적하면 악성코드 배포자도 찾을 수 있을 것으로 기대하고 있다.
경찰이 서울 동대문구 청량리 가정집에서 디도스 공격에 동원된 PC 1대를 찾은 것을 시작으로 '좀비 PC' 확보에 수사력을 모으고 있는 것도 이런 맥락에서다. '좀비 PC'들이 공통으로 방문한 사이트나 다운받은 파일 등을 찾아내 악성코드가 어떤 사이트 등을 통해 유포됐는지 되짚어 나가겠다는 것이다.
경찰은 7일 1차 공격 관련 4대, 8일 2차 공격 관련 2대 등 '좀비 PC' 6대를 확보해 분석중인데, 앞으로 최대한 많은 PC를 확보하겠다는 계획이다. 이는 해킹 공격 지휘 서버를 찾는 것보다 훨씬 어렵고 많은 인력이 소모되는, 그야말로 오랜 시일이 걸릴 수 밖에 없는 저인망식 수사 방식이다.
하지만 이 마저도 해커 추적이 쉽지 않을 것으로 보안 전문가들은 보고 있다. 좀비 PC 분석을 통해 설령 악성코드 유포 사이트를 찾았다 하더라도 조직적이고 지능적인 해커들이 해당 사이트에 자신의 접속 흔적을 남겼을 가능성이 그리 높지 않다는 것이다. 해커들이 대부분 인터넷 주소(IP)를 위조하는데다 접속 기록도 모두 지우고 떠나는 것이 일반적이다.
경찰 관계자도 "감염경로를 추적해 해커를 찾는 과정에서 상당한 애로사항이 있다. 솔직히 언제 끝날 것 같다는 얘기를 하기 어렵다"며 수사 장기화 가능성을 내비쳤다.
장재용 기자
기사 URL이 복사되었습니다.
댓글0