보안전문가, “61개국 공조 통한 공통로그 추적 가능한가?”

지난 7일부터 시작된 DDoS공격의 악성코드 유포지에 대한 추측설이 난무한 가운데 경찰이 사건발생 후 20여일이 지난 27일, 좀비PC 분석결과 공격명령은 해외서버가 이용됐고, 악성코드 유포는 국내 2곳의 웹하드 사이트가 활용됐다고 밝혔다.

경찰청 사이버테러대응센터는 27일 브리핑을 통해 확보된 27대의 좀비PC 분석결과, 이중 21대가 해킹된 국내 웹하드 사이트 2곳의 서비스를 이용하는 이용자들이 다운받아 설치하는 프로그램의 업데이트용 파일을 바꿔치기하는 방식으로 악성코드를 유포시킨 것을 확인했다고 전했다.

또한 경찰은 악성코드에 감염된 좀비PC를 관리·공격명령을 내린 C&C서버가 한국을 포함해 총 61개국 432대임을 확인했으며, 이 C&C서버는 ▲좀비PC 관리 ▲좀비PC 내부 파일정보 수집 ▲악성코드 공급 ▲좀비PC 파괴 이상 4가지 종류로 이뤄졌다고 밝혔다.

특히 경찰은 DDoS공격에 있어 악성코드 공급서버로 활용된 미국 서부 소재의 농장 홈페이지를 지목하면서, 좀비PC의 분석을 통해 이 홈페이지에 악성코드가 그림파일로 위장·은닉돼 있다는 것을 알아냈다고 밝혔다. 이러한 xxx.jpg 형식의 그림파일로 위장된 악성코드에 주목되는 것은 기존 악성코드 샘플들에서는 찾을 수 없었기 때문.

이에 한 보안전문가는 “경찰이 기존 DDoS공격과는 달리 이번 DDoS공격이 4개의 서버그룹을 통해 순차적으로 각각의 기능을 수행하면서 변형된 C&C서버의 역할을 하고 있었다는 것을 알아낸 것은 기존 백신업체나 해커들이 할 수 있는 것은 아니다. 서버 압수에 따른 수색을 할 수 있는 경찰이었기에 가능했던 것”이라며 “그림파일로 위장된 악성코드의 경우에는 기존 악성코드 샘플들을 통해 국내 유수의 해커들이 분석을 하면서도 발견되지 않았다고 본다면 압수한 서버에서 분석됐을 것”이라고 설명하며, 4가지 종류의 서버 중 ▲좀비PC 내부 파일정보 ▲악성코드 공급 C&C서버가 그에 해당한다고 덧붙였다.

그리고 경찰은 이날 브리핑을 통해 “악성코드 유포지 4개 서버에 대한 접속기록 등에 대한 면밀한 분석을 통해서 공격근원지인 해커의 최종 위치를 추적하는 것이 최종목표”라고 밝혔지만 그것이 쉽지 않다는 것이 전문가들의 의견이다.

이에 한 보안전문가는 “경찰은 명령서버가 전세계 61개국에 432대가 존재한다고 밝혔지만 이는 지난 10일 전후의 결과라 여겨진다. 즉 그 이후의 좀비PC들을 통해 분석을 한다면 서버 대수는 적어도 6~7백대가 넘을 것이며 국가역시 늘어날 것”이라며 “만약 그렇지 않고 현재 경찰이 발표한 61개국 432대라고 하더라도 현실적으로 61개국의 서버를 일일이 확인하는 것은 현실적으로 불가능할 것”이라고 말했다.

즉 그는 “공격근원지인 해커의 최종 위치를 추적하려면 이들 4백 몇십개 서버에 대해 로그기록을 분석해서 공통적으로 해킹을 한 로그를 찾아야 하는데 61개국에 흩어져 있는 이들 서버들을 61개국이 공조해 일일이 분석하는 것은 불가능할 것”이라고 덧붙였다.

한편 이렇듯 공격근원지인 해커를 추적하는데 어려움이 예상되는 가운데 경찰 등 수사기관이 얼마만큼의 공조를 통해 수사가 진척될지에 귀추가 주목된다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>