지난 7일부터 사흘간 이어진 디도스(DDoSㆍ분산서비스거부) 사태가 새 국면을 맞고 있다.국가정보원 등 일부에서 북한개입설을 제기했으나 진원지가 영국으로 확인됐다. 또 악성코드가 감염PC의 정보를 빼내간 사실이 뒤늦게 드러나 해킹 논란으로 확대될 조짐이다.
악성 코드 진원지는 영국
방송통신위원회가 14일 악성코드의 진원지인 영국의 인터넷주소(IP)를 확인하면서 외국인 해커 가능성(본보 7월13일자 보도)에 무게가 실리고 있다. 방통위에 따르면 이번에 확인된 영국 IP는 숙주 사이트를 원격 조정한 '봇 마스터' 사이트였다. 즉, 악성 코드를 125개 숙주 사이트에 배포했고, 이를 통해 74개국의 PC 16만6,000여대가 감염됐다.
영국 IP는 베트남의 인터넷침해사고대응지원센터(CERT)에서 찾아냈다. 방통위에서 11일에 악성 코드 샘플을 베트남 CERT에 전달했고, 베트남 CERT가 악성 코드 분석 결과를 이날 방통위 산하 한국정보보호진흥원(KISA)에 통보했다. 베트남 CERT 분석 자료에 따르면 영국 IP를 관리하는 마스터 서버는 영문 윈도 2003을 운용체제(OS)로 사용했다.
그러나 이번 디도스 사태에 북한 개입 여부는 아직 확인되지 않았다. 영국 IP인 만큼 외국인 해커 가능성이 높지만, 북한이 해당 IP를 운영하지 말라는 법도 없기 때문이다. 현재 방통위는 영국 IP의 소유자를 파악하기 위해 영국 CERT에 협조를 요청한 상태다.
악성코드, 정보 빼냈다
이번 악성 코드는 감염 PC의 정보도 빼냈다. 우선 7일 이전에 첫 번째 악성 코드가 감염 PC에 침투해 7일에 디도스 공격을 시작한 두 번째 악성코드를 만들었다. 악성코드가 악성코드를 직접 제조한 기상천외한 일이 벌어진 것이다.
이후 첫 번째 악성코드는 7일 오후 6시 이전에 스스로 자폭해 사라지면서 감염 PC의 파일 목록을 외부로 빼냈다. 해킹을 통해 파일 목록이 영국 IP에 전달된 것으로 추정된다. 황철증 방통위 네트워크정책 국장은 "KISA에서 스스로 자폭한 첫 번째 악성코드를 되살려 시험한 결과 파일 목록 유출 사실을 확인했다"고 말했다.
해킹 기능 가진 변종 악성 코드 등장 가능
보안 관계자들은 악성 코드의 추가 해킹 위험을 경계하고 있다. 보안업체인 NSHC의 허영일 사장은 "파일 목록을 가져갔다면 파일도 가져갈 수 있다는 뜻"이라며 "다른 파일의 유출 가능성이 높은 만큼 추가 확인을 해야 한다"고 강조했다.
특히 개인 PC에 저장된 공인인증서나 인터넷 뱅킹 자료 등은 좋은 표적이 된다. 기업의 고객 데이터베이스 등은 여러 모로 활용할 수 있는 자료이며, 심지어 사고 팔 수 있는 돈벌이 수단이 된다.
또 영국 IP 외에 추가 진원지가 또 있을 가능성도 있다. 방통위 관계자는 "추가 진원지를 더 찾아봐야 한다"며 "진원지가 다수인 지, 1개인 지 아직 알 수 없다"고 말했다. 따라서 추가 진원지가 더 있다면 악성 코드에 파일을 빼내는 기능을 탑재해 추가 디도스 공격을 할 수도 있다. KISA 관계자도 "파일을 유출하는 변종 악성 코드의 등장 가능성이 있다"며 "백신을 반드시 사용하라"고 당부했다.
최연진 기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0