경찰, 해킹 동원 `감염컴퓨터` 확보

정부 주요기관 사이트 해킹 사건을 수사 중인 경찰이 이번 해킹이 일반 컴퓨터를 악성코드로 감염시켜 공격 대상 사이트에 대량의 트래픽을 유도한 DDoS(분산서비스거부)로 보고 수사를 확대하고 있다. DDoS 공격은 해커가 인터넷 카페 등의 파일에 악성코드를 숨겨 놓아 이 파일에 접촉한 일반 컴퓨터 수천∼수만대를 감염시키고, 중간 조정(C&C:Command&Control) 서버를 통해 감염된 컴퓨터(Botnet 컴퓨터)를 원격조정해 목표한 사이트에 일제히 접속을 유도, 마비시키는 방식이다.

경찰청 사이버테러대응센터는 8일 “DDoS 공격에 동원된 Botnet 컴퓨터로 파악된 가정용 PC 한 대를 임의로 제출받아 이 컴퓨터를 오염시킨 해커를 추적하고 있다”고 말했다.

경찰은 이날 오전 동대문구 청량리의 한 가정집에 있는 PC가 트래픽 공격에 동원된 것으로 파악하고 이 컴퓨터를 감염시킨 악성코드 유포자의 IP 주소 등을 추적 중이다.

경찰은 이 PC를 감염시킨 악성코드를 분석한 결과 청와대와 백악관 등 우리나라와 미국의 25개 사이트에 대한 공격 명령이 숨어 있는 것을 발견했다.

보통 Botnet 컴퓨터는 1초당 수백∼수천개의 트래픽을 유도시키며, 경찰은 이번 공격의 규모로 미뤄 1만개 이상의 PC가 오염돼 Botnet 컴퓨터로 이용된 것으로 파악하고 있다.

그러나 이번 공격은 Botnet 컴퓨터가 C&C 서버를 통한 원격 조종을 받지 않고 스스로 7월7일 오후 7시 일제히 공격을 시작했다는 점에서 일반적인 DDoS 공격과는 다르다고 경찰은 설명했다.

Botnet 컴퓨터가 감염될 때부터 악성코드에 미리 공격 시점과 대상이 정해져 있었고 C&C 서버의 별도 공격 명령을 받지 않고 독자적으로 공격에 가담했다는 것이다.

이 때문에 아직 C&C 서버의 실체가 드러나지 않아 경찰은 수사에 난항을 겪고 있다.

아울러 2차 공격의 우려도 제기돼 경찰은 악성코드 분석에 수사력을 집중하고 있다.

경찰은 Botnet 컴퓨터에서 발견한 악성코드의 분석을 통해 다른 시각에 2차 공격을 하도록 프로그래밍이 된 것은 아닌지 확인하고 있다.

경찰 관계자는 “악성코드가 다른 시각에 또 다른 공격을 하도록 PC들을 감염시켰는지는 분석이 끝나지 않아 현재로선 알 수 없다”며 “Botnet 컴퓨터 분석을 서둘러 이 컴퓨터를 오염시킨 사이트를 찾아내는 것이 급선무다”라고 말했다.

[연합뉴스]