경찰, DDoS 자료확보 일단락…교차분석

청와대 등 주요기관 홈페이지를 마비시킨 분산서비스거부(DDoS) 공격 사건을 수사 중인 경찰이 악성코드에 감염된 ‘좀비PC’ 확보 작업을 일단락하고 본격적인 교차 분석을 시작했다.

경찰 관계자는 12일 “수도권에 있는 좀비PC 21대의 IP 추적을 통해 이들 PC의 하드디스크를 입수했다”며 “교차 분석에 필요한 좀비PC는 충분히 확보한 것으로 보고 분석에 주력하고 있다”고 말했다.

경찰은 21대의 PC가 방문한 인터넷 사이트와 내려받은 파일·이메일 등을 대조하는 작업으로 이들 PC의 이력상 공통점을 찾아내 악성코드가 유포된 진원지를 가려낼 방침이다.

경찰은 악성코드가 유포된 사이트를 찾아내면 이곳에 DDoS 공격을 일으킨 해커 조직이 접촉한 경로를 역추적할 계획이다.

아울러 경찰은 DDoS 공격으로 인해 감염된 컴퓨터가 자동으로 접속해 악성 코드를 내려받은 업데이트 서버 4곳의 하드디스크를 확보해 해커의 흔적을 추적 중이다.

앞서 경찰은 업데이트 서버가 17개국 86개 IP 주소에서 발견됐고, 이 중 5개는 한국에 있다는 사실을 확인했다.

경찰은 나머지 1개의 IP는 유동식 IP여서 사실상 추적이 불가능하다고 설명했다.

또 경찰은 피해 사이트의 로그인 기록도 확보해 분석하고 있다.

일부 금융회사는 고객정보가 유출될 우려를 제기하며 경찰에 자료 제공을 거부한 것으로 알려졌지만, 경찰은 이미 충분한 자료를 확보해 수사에는 큰 지장이 없다고 밝혔다.

경찰은 좀비PC와 업데이트 서버의 분석을 통해 이번 공격에 북한의 해커 조직이 개입했는지를 확인할 방침이다.

앞서 국가정보원은 10일 한나라당 지도부와 비공개 간담회에서 북한군 총참모부가 DDoS 공격에 앞서 인민군 소속 해커조직에 남한 통신망을 파괴하라는 명령을 하달했고, 우리나라 여러 사이트를 상대로 예행연습을 한 사실을 포착했다고 보고한 것으로 전해졌다.

경찰 관계자는 “여러가지 경로로 DDoS 공격의 근원지를 추적하고 있지만 아직은 수사 과정에서 북한이 이번 공격을 일으켰다고 볼 수 있는 물증은 발견되지 않았다”고 말했다.

[연합뉴스]