[또… 디도스 악몽] 악성 코드 제작자 누구경찰, 근원지 파악위해 '몸체役' 사이트 2곳 조사北비난 '디시인사이드'도 공격 "北소행 배제못해"
디도스 공격을 일으킨 범인, 정확히 말하면 악성 코드 제작자를 찾는 일은 쉽지 않다. 악성 코드 제작자가 추적을 피하기 위해 각종 사이트를 경유하는 방식으로 흔적을 지우기 때문이다. 이번 악성 코드 제작자 역시 같은 방식을 사용해 누가, 어떤 목적으로 만들었는지 파악하기 힘든 상황이다.
4일 디도스 공격을 일으킨 악성 코드도 추적을 할 수 없도록 드롭퍼라는 기능을 사용했다. 몸체 역할을 하는 드롭퍼는 해킹 사이트에 숨어 있다가 접속한 이용자의 컴퓨터(PC)에 침투한다. 방송통신위원회에 따르면 개인 대 개인(P2P) 파일제공 서비스인 슈퍼다운과 셰어박스 사이트가 드롭퍼 은닉용 감염 사이트가 됐다.
이 방법은 2009년 7월7일에 발생한 7.7 디도스 대란 때도 쓰였다. 그 결과 방통위는 악성 코드 제작자 추적에 어려움을 겪다가 뒤늦게 악성 코드 진원지가 영국이라는 사실을 밝혀냈다. 당시 방통위는 악성 코드가 숨어 있던 숙주 사이트를 원격 조정한 영국의 인터넷 사이트 주소를 확인하고, 관련 자료를 검찰과 경찰, 국가정보원에 전달했다. 당시 경찰은 북한 소행이라고 발표했으나 방통위는 북한 관련 가능성을 언급하지 않았다.
당시 경찰은 7.7 디도스 대란 이후 3개월 뒤에 공격 근원지가 중국에서 북한 체신성이 사용하는 인터넷주소(IP)라고 발표했다. 그 점에서 정부 당국은 북한의 사이버 공격 가능성도 배제하지 않고 있다. 방통위 관계자는 "악성 코드에서 제작자나 유포 경로의 흔적을 찾기 힘든 상황"이라며 "단정할 수 없지만 북한의 공격 가능성도 배제할 수 없다"고 설명했다.
특히 경찰은 7.7 디도스 대란 때 제외된 커뮤니티 사이트 디시인사이드가 포함된 점을 눈여겨 보고 있다. 디사인사이드가 운영하는 '연평도 북괴도발 갤러리'(연북갤)가 1월6일에 디도스 공격을 받아 40여분간 접속 장애를 일으켰는데, 당시 이용자들은 북한의 소행으로 보고 보복 차원에서 북한의 대남선전 사이트인 '우리민족끼리'를 해킹했다. 뒤늦게 연북갤 해킹 범인은 관심을 끌려던 철없는 10대의 소행으로 드러났다.
이에 따라 경찰은 여러 가지 가능성을 염두에 두고 현재 사이버테러대응센터를 중심으로 디도스 근원지 파악에 주력하고 있다. 악성 코드가 숨어 있던 사이트인 슈퍼다운과 셰어박스 두 곳에 수사관을 보내 유포 경위를 파악 중이며 피해 사이트를 공격한 좀비PC들의 인터넷주소(IP)를 확인하고 있다. 방통위 관계자는 "이번 디도스 공격이 7.7 디도스 대란과 유사한 점을 감안해 추가 변종 악성코드가 등장할 수 있으며, 특히 악성 코드 유포 사이트가 달라질 수 있다"고 경고했다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0