[보안뉴스 오병민] 경찰청(사이버테러대응센터)은 지난 3월 3일부터 3월 5일까지 국내 주요 40개 사이트를 대상으로 발생한 DDos 공격에 대한 수사결과, 2009년 7월 7일 발생한 DDoS 공격과 동일범임을 확인했다고 밝혔다. 이에 따라 7.7 DDoS의 배후가 북한일 가능성에 염두를 뒀던 DDoS 공격 배후 수사에 대해서도 귀추가 주목되고 있다.

경찰청은 행안부·방통위(한국인터넷진흥원) 등 유관기관과 협조를 통해 악성코드 유포 사이트와 국내 감염 좀비PC, 해외 공격명령서버를 확보해 정밀 분석을 진행했다. 경찰측은 분석을 통해 불상의 해커가 파일공유사이트의 업데이트 파일을 바꿔치기 하는 수법으로 악성코드를 유포해 10만여 대의 PC를 감염시킨 뒤 해외 70개국 746개 공격명령서버(C&C : Command & Control)에서 실시간으로 좀비PC를 제어하면서 공격명령을 하달하는 등 공격 실체를 규명했다고 밝혔다.

특히 2010년 8월 이후 7개월간 국내 파일공유사이트 및 해외 공격명령서버를 해킹한 중국 소재  공격근원지 IP들을 확인하고 이중 일부는 디도스 공격기간 중 좀비PC로 위장하여 진행상황을 점검한 사실도 밝혀냈다.

경찰측은 7. 7 DDoS 공격자와 동일범임을 판단하는 근거로 △파일공유사이트를 통해 악성코드를 유포하고 여러단계의 해외 공격명령서버(C&C : Command & Control)를 이용하여 공격을 시도하는 등 디도스 공격체계 및 방식이 동일하다는 점 △악성코드의 설계방식 및 통신방식이 정확하게 일치하는 등 동일 프로그래머에 작성된 것으로 입증된 점 △특히 3. 4 DDoS 공격과 7. 7 DDoS 공격시 활용된 해외 공격명령서버 일부가 동일한 점 등을 결정적 증거로 제시했다.

전세계 IP 주소는 42억 개 이상으로 공개되지 않은 7. 7 DDoS의 C&C 서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능하다는 설명이다.

참고로 7.7 DDoS 사건은 2009년 7월 7일부터 9일까지 61개국 총 435대 서버를 활용해 한·미 주요기관 등 총35개 사이트를 DDoS 공격했다. 당시 경찰 수사결과에 따르면 공격근원지가 중국에 소재한 북한 체신성으로 확인됐다.

경찰은 7.7 DDoS 공격의 배후에 대한 수사를 진행하면서 배후에 북한이 있을 가능성까지 포함해 수사를 진행하고 있었다. 그런 상황에서 3.4 DDoS 공격도 7.7 DDoS 공격의 동일범일 가능성이 높아짐에 따라 북한 공격 가능성까지 염두에 둔 수사로 확대할 것으로 예상된다.

이에 따라, 경찰 측은 “향후 공격근원지 확인 및 해외 공격명령서버 추가 확보를 위해 국제공조수사를 요청하는 등 계속 수사를 진행할 계획”이라고 밝혔다.

- 7. 7 DDoS 공격과 3.4 DDoS 공격 비교 -

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>