DDoS 공격자 추적 가능한가

7.7 분산서비스거부(DDoS) 공격의 배후 추적 작업이 장기화될 조짐을 보이면서 과연 추적이 가능할지에 대해 관심이 모아지고 있다.

최근 미국 마이애미 소재한 서버가 이번 공격을 총지휘한 마스터 서버로 알려지면서 진원지 추적 작업이 한 발짝 더 나아갔지만, 중요한 단서가 되기 힘들 것이라는 게 보안전문가들의 지적이다.

특히 추적 및 분석 작업이 이뤄질수록 뛰어난 해커가 이번 공격의 배후일 것이라는 추측이 나오면서 수사 당국에 꼬리를 잡힐 만한 증거를 남기지 않았을 것이라는 의견이 지배적이다.

국내뿐만 아니라 영국과 미국의 수사 당국도 나섰지만, 아직 들려오는 희소식은 없는 상황이다. 이 때문에 해커 추적 작업이 성과를 낸다 하더라도 상당한 시간이 걸릴 것이라는 관측이다.

우선 해커가 가상사설망(VPN)을 이용하는 업체의 업무 간 시스템을 마스터 서버로 이용했다는 점에서 영국과 미국의 네트워크 시스템에 상당한 조예를 가진 수준급 전문가일 것이라는 주장이 제기되고 있다.

마이애미의 마스터 서버는 영국 IPTV업체와 VPN을 통해 IPTV 프로그램을 주고받는 업무용 서버로 해킹을 당해 총 지휘소로 악용된 것으로 관측된다.

영국 IPTV업체 서버는 VPN의 전용회선으로 마스터 서버로부터 조정을 당해 전 세계에 뻗어 있는 중간 경유지 서버로 공격명령을 전달하는 역할을 했다.

한 보안업체 임원은 이에 대해 “일반적인 해커는 이 같은 방식을 생각해내거나 적용하기 어렵다”면서 “영국의 IPTV 서비스망을 꿰뚫고 있어 단순히 실력이 좋은 해커가 아니다”라고 말했다.

이번 공격에서 PC 한 대 당 공격 트래픽을 이용자가 감지하기 힘들 정도로 소량으로 하되 ’좀비PC’를 늘린 점 등 공격 단계에서 나타나는 여러 특성도 전문적인 해커가 배후라는 주장을 뒷받침하고 있다.

한 보안업체 관계자는 “PC 사용자가 느끼지 못하게 하면서 공격을 가하는 등 이전 DDoS 공격에서 나타나지 않은 새로운 방식을 사용했다”면서 “천재급 해커가 저지른 일로, 파장과 결과를 예상한 듯한 공격 방식을 설계한 것 자체가 대단하다”고 말했다.

다른 관계자도 “대체로 DDoS 공격의 배후를 찾아내는 경우도 거의 없는데다, 이번 해커는 수법도 뛰어나기 때문에 서버에 로그 등 자취를 남길 가능성은 거의 없다고 봐야 한다”고 말했다.

이 같은 공격의 정교함 때문에 공격이 이번 한 번으로 그치지 않을 것이라는 우려도 나타난다.

이 관계자는 “사실 이번 공격으로 별다른 피해는 없었던 셈이었는데 해커가 마음만 먹었으면 증권사 등을 공격해 상상할 수 없는 피해를 초래할 수도 있었을 것”이라며 “지금과 같은 공격에 대해 막을 방법도 마땅치 않은데 좀 더 진화된 방식으로 주요 경제 기관을 공격한다면 무서운 결과가 나올 수 있다”고 경고했다. 즐겨찾기와 바탕화면 목록 등 파일목록만 빼가도록 설계한 것도 다음 공격을 위한 준비작업이 아니냐는 분석도 나온다. 이용자들의 패턴을 분석해 악성코드 설계 및 전파 경로 설계 등에 유용하게 사용할 수 있다는 것이다.

한 보안전문가는 “공격의 여러 형태를 봤을 때 전혀 조합도 안 되고 의도도 찾아내기 어렵지만, 계획적이고 생각이 많은 해커라는 것은 확실해 보인다”고 말했다.

따라서 이번 DDoS 공격의 배후를 찾는 것은 사실상 어려울 것이라는 전망도 나오고 있다.

미국 웹 보안 전문가들의 자원봉사 모니터링 그룹인 ‘인터넷 스톰 센터’의 마르쿠스 사크(Marcus Sachs) 국장은 “이번 DDoS 공격자를 쫓는 것은 사실상 유령을 쫓는 것과 마찬가지”라고 말했다.

이번 DDoS 공격을 한 악성코드(봇넷)는 소프트웨어 코딩 기술을 갖고 있는 사람이면 쉽게 만들 수 있고, 봇넷에 공격 웹사이트 리스트를 제공하는 명령·조정 프로그램(Command and Controle programs)을 좀비PC에 탑재하는 것도 공격자에 대한 정보를 남겨놓지 않은 채 얼마든지 가능하다는 것이 그의 설명이다.

그는 이에 따라 미국의 정보기관이나 수사당국도 DDoS 공격자를 밝혀내기 위해 수백만 달러가 소요될 것으로 보이는 값비싼 수사에 착수하지 않을 것으로 예상했다.

<연합뉴스>