국정원·경찰 등 수사기관, “초기 악성코드 발생 시점 파악 마저 놓쳐”

지난 20일 한 언더그라운드 해커는 이번 DDoS공격 악성코드를 추적해 수집된 총 43종 샘플을 수집해 분석한 결과, 지난 3월 말에 제작된 것으로 추정되는 악성코드를 찾아내 이 악성코드가 4월 초에 해외에서 발견된 것으로 파악되고 있다고 밝혔다.

이는 기존 언론을 통해 미국이니 영국 등이 이번 DDoS공격의 진원지라는 추측이 잘못된 것임은 물론 이후 이번 DDoS공격자의 봇넷 서버를 파악하는 것이 현실적으로 어렵다는 것을 말하고 있어 이후 이와 관련해 해커 추적수사를 벌이고 있는 국정원, 검찰청, 경찰청 등 국가기관의 추적수사가 어떻게 진행이 될지에 귀추가 주목된다. 더구나 이번 초기 악성코드 발생 시점 발견마저도 역시 먼저 알아내지 못했다는 점에서 국가기관은 이에 대한 비난을 면치 못할 것으로 보인다.

우선 이번 한 언더그라운드 해커에 의해 밝혀진 초기 악성코드 발생 시점 파악은 최근 봇넷 마스터의 진원지가 미국이나 영국 등일 것이라는 의견이 잘못된 것임을 말해 준다. 이번 DDoS공격이 최초로 이루어졌다고 보는 지난 7월 5(미국 대상 기준)일을 기점으로 한 악성코드를 분석한 결과에 따라 IP추적이 이루어진 것이기 때문이다. 즉 진원지가 미국이나 영국 등일 것이라는 의견은 이 악성코드가 우선 3월 말에 제작됐다고 보더라도 7월 5일을 전후로 한 IP 추적은 결국 어딘가를 통해 경유되었을 가능성이 높기 때문이다.

그런 상황에서 지난 3월 말에 제작된 것으로 추정되는 악성코드가 발견됐다는 것은 이미 이전부터 제작된 악성코드가 있을 수도 있다는 것을 의미한다는 점에서 이후 국가기관은 3월 말 이전의 최초 악성코드 발생 시점을 파악하는 것에 초점을 맞춰야 할 것으로 보인다. 하지만 그렇더라도 실제 이번 DDoS공격의 진원지인 봇넷 마스터를 찾기란 현실적으로 불가능할 것이란 것이 이번 초기 악성코드 발생 시점을 발견한 해커의 말이다.

그는 “이번에 발견한 초기 악성코드 발생 시점이 3월 말인데 전세계 트래픽을 국가간 공조가 이루어질 수 있을지도 의문이지만 이전 시점의 악성코드 발생 시점이 파악된다면 이를 일일이 분석하기란 현실적으로 불가능하기 때문”이라며 “이번 DDoS대란과 관련한 최초 진원지, 봇넷 마스터를 파악·추적하기란 현실적으로 어려워 보인다”고 설명했다.

또한 그는 “이번 7.7 DDoS대란을 일으킨 공격자가 제 2차 공격을 감행한다고 가정한다면, 이를 막을 수 있는 방법은 현실적으로 그 대응이 쉽지 않을 것”이라며 “가장 최우선책은 개인 사용자들이 스스로 보안패치 및 백신프로그램 등을 주기적으로 보안업데이트 하고 좀비PC로 전락되지 않도록 하는 것이 무엇보다 중요하다”고 말했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>