읽는 재미의 발견

새로워진 한국일보로그인/회원가입

  • 관심과 취향에 맞게 내맘대로 메인 뉴스 설정
  • 구독한 콘텐츠는 마이페이지에서 한번에 모아보기
  • 속보, 단독은 물론 관심기사와 활동내역까지 알림
자세히보기
또…디도스 악몽/ 7·7 대란때처럼 여러 사이트 경유…범인 추적 또 '미궁' 가능성
알림
알림
  • 알림이 없습니다

또…디도스 악몽/ 7·7 대란때처럼 여러 사이트 경유…범인 추적 또 '미궁' 가능성

입력
2011.03.02 00:54
0 0

디도스 공격을 일으킨 범인, 정확히 말하면 악성 코드 제작자를 찾는 일은 쉽지 않다. 악성 코드 제작자가 추적을 피하기 위해 각종 사이트를 경유하는 방식으로 흔적을 지우기 때문이다. 이번 악성 코드 제작자 역시 같은 방식을 사용해 누가, 어떤 목적으로 만들었는지 파악하기 힘든 상황이다.

4일 디도스 공격을 일으킨 악성 코드도 추적을 할 수 없도록 드롭퍼라는 기능을 사용했다. 몸체 역할을 하는 드롭퍼는 해킹 사이트에 숨어 있다가 접속한 이용자의 컴퓨터(PC)에 침투한다. 방송통신위원회에 따르면 개인 대 개인(P2P) 파일제공 서비스인 슈퍼다운과 셰어박스 사이트가 드롭퍼 은닉용 감염 사이트가 됐다.

이 방법은 2009년 7월7일에 발생한 7.7 디도스 대란 때도 쓰였다. 그 결과 방통위는 악성 코드 제작자 추적에 어려움을 겪다가 뒤늦게 악성 코드 진원지가 영국이라는 사실을 밝혀냈다. 당시 방통위는 악성 코드가 숨어 있던 숙주 사이트를 원격 조정한 영국의 인터넷 사이트 주소를 확인하고, 관련 자료를 검찰과 경찰, 국가정보원에 전달했다. 당시 경찰은 북한 소행이라고 발표했으나 방통위는 북한 관련 가능성을 언급하지 않았다.

당시 경찰은 7.7 디도스 대란 이후 3개월 뒤에 공격 근원지가 중국에서 북한 체신성이 사용하는 인터넷주소(IP)라고 발표했다. 그 점에서 정부 당국은 북한의 사이버 공격 가능성도 배제하지 않고 있다. 방통위 관계자는 "악성 코드에서 제작자나 유포 경로의 흔적을 찾기 힘든 상황"이라며 "단정할 수 없지만 북한의 공격 가능성도 배제할 수 없다"고 설명했다.

특히 경찰은 7.7 디도스 대란 때 제외된 커뮤니티 사이트 디시인사이드가 포함된 점을 눈여겨 보고 있다. 디사인사이드가 운영하는 '연평도 북괴도발 갤러리'(연북갤)가 1월6일에 디도스 공격을 받아 40여분간 접속 장애를 일으켰는데, 당시 이용자들은 북한의 소행으로 보고 보복 차원에서 북한의 대남선전 사이트인 '우리민족끼리'를 해킹했다. 뒤늦게 연북갤 해킹 범인은 관심을 끌려던 철없는 10대의 소행으로 드러났다.

이에 따라 경찰은 여러 가지 가능성을 염두에 두고 현재 사이버테러대응센터를 중심으로 디도스 근원지 파악에 주력하고 있다. 악성 코드가 숨어 있던 사이트인 슈퍼다운과 셰어박스 두 곳에 수사관을 보내 유포 경위를 파악 중이며 피해 사이트를 공격한 좀비PC들의 인터넷주소(IP)를 확인하고 있다. 방통위 관계자는 "이번 디도스 공격이 7.7 디도스 대란과 유사한 점을 감안해 추가 변종 악성코드가 등장할 수 있으며, 특히 악성 코드 유포 사이트가 달라질 수 있다"고 경고했다.

최연진 기자 wolfpack@hk.co.kr

기사 URL이 복사되었습니다.

세상을 보는 균형, 한국일보Copyright ⓒ Hankookilbo 신문 구독신청

LIVE ISSUE

기사 URL이 복사되었습니다.

댓글0

0 / 250
중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.