[3 · 3 DDoS 공격] 해외 좀비PC 하나도 없는데…북한 짓?

　‘범인이 과연 북한일까?’

　2009년 7월에 이어 거의 똑같은 DDoS(분산서비스거부) 공격이 발생하면서 누가 공격을 시도했는지 궁금증이 증폭되고 있다.

　경찰은 7·7 DDoS 대란 직후 수사를 벌여 3개월 만에 공격 근원지가 중국에서 북한 체신성이 사용하는 IP인 사실을 밝혀내 배후로 북한을 지목하기도 했다. 경찰은 이번 3·3 DDoS 공격도 그 때와 흡사해 북한일 가능성을 일찌감치 열어 놓았다. 특히 이번 공격 대상 웹 사이트에는 북한 대남선전 사이트 ‘우리민족끼리’를 해킹한 이용자가 활동하는 ‘디시인사이드’가 포함돼 북한 연루설은 더욱 무게를 얻는 양상이다.

　좀비PC를 조정하는 C&C서버 다수가 중국·러시아 등 38개국에서 발견돼 여전히 북한 등 해외에서 공격 가능성이 높다는 분석이다.

　하지만 이번 DDoS 공격에는 7·7 공격과 달리 해외 좀비PC가 한 대도 동원되지 않아 다른 가능성도 제기되고 있다.

　지난 7·7 DDoS 공격 때는 영국의 마스터 IP(인터넷주소)에 악성코드를 심어놓은 것을 시작으로 전 세계 125개 숙주 사이트를 매개체로 삼아 국내외 11만5000여대의 좀비PC에 악성코드를 심은 뒤 한국과 미국에 동시 다발적으로 DDoS 공격을 퍼부었다.

　반면에 이번 DDoS 공격에는 동원된 좀비PC 5만여대는 모두 국내에 위치한 것으로 확인됐다. 범인이 해외가 아니라 국내에 있을 가능성도 배제할 수 없다는 것이다.

　전문가들 사이에서는 7·7 DDoS 공격 범인을 2년 가까이 밝혀내지 못하는 것을 두고도 뒷말이 많다. 진짜 몰라서 못 잡는 것인지, 알고도 못 밝히는 것인지 의아해하는 사람들이 대부분이다.

　익명을 요구한 보안업체 한 개발팀장은 “(7·7 DDoS 공격이나) 이번 DDoS 공격도 악성코드를 분석해보면 누가했는지 다 안다”며 “그런데 국정원이나 보안업체들이 다 알면서도 모른 체 할 수도 있다”며 말끝을 흐렸다.

장지영기자 jyajang@etnews.co.kr