산업 산업일반

디도스 공격 진원지는 영국

중요자료 빼내기 위장술?<br>정보 입수후 PC자폭 등으로 은폐<br>은행 등 주요기관들 피해 우려속<br>"유출" "미확인" 경찰·방통위 '삐걱'


SetSectionName(); 디도스 공격 진원지는 영국 '좀비PC' 개인정보도 유출돼정보 입수후 PC자폭 등으로 은폐은행 등 주요기관들 피해 우려속"유출" "미확인" 경찰·방통위 '삐걱' 송영규 기자 skong@sed.co.kr ImageView('','GisaImgNum_1','default','260'); 최근 국내외 사이트를 마비시켰던 분산서비스거부(DDoSㆍ디도스) 공격의 진원지가 영국에 있는 서버인 것으로 드러났다. 또 이번 공격에 사용된 악성코드가 PC에 저장된 개인 정보목록도 외부로 유출한 것으로 확인됐다. 방송통신위원회는 민간 조직인 아태 침해사고대응팀 협의체(APCERT)에 소속된 베트남 컴퓨터 보안업체 브키스(Bkis)로부터 "이번 악성코드가 영국에 위치한 '마스터 서버(Bot-Master)'에서 시작됐다는 분석결과를 통보 받았다"고 14일 밝혔다. 이는 이번 공격이 영국에 있는 서버에서 시작된 것임을 의미한다. 이와 관련, 정보보호진흥원은 디도스 공격 직후 APCERT 소속 회원사들과 악성코드 샘플을 공유하고 협조를 의뢰했다. 또 이번 공격에 동원된 좀비PC는 당초 알려진 것보다 훨씬 많은 74개국 16만6,000대에 달한 것으로 나타났다. 이에 따라 방통위는 이 같은 사실을 국가정보원과 경찰청 등 수사기관에 즉각 통보했다. 그동안 전문가들은 디도스 공격의 주체와 목적을 캐고 재발을 방지할 수 있는 최선의 해결책은 공격의 진원지 또는 마스터 서버를 찾아내는 것이라고 입을 모았다. 좀비PC에 악성코드를 뿌리고 공격시기와 방법을 명령하는 '총사령관'을 찾아낼 경우 해커의 정체에 한단계 더 다가갈 수 있기 때문이다. 하지만 이 서버를 발견했다고 해서 공격이 더 이상 일어나지 않을 것이라는 단정은 금물이라는 게 방통위와 보안업계의 설명이다. 서버가 다른 곳에서 감염된 것일 수도 있고 마스터 서버가 여러 개 존재할 수도 있기 때문이다. 이것이 해커의 본거지를 찾은 것이라는 증거도 없기 때문이다. 황철증 네트워크국장은 "감염된 좀비PC 수 등을 고려할 때 영국 서버에서 공격이 나왔다는 것은 상당히 신뢰성이 있다"며 "하지만 이것이 해커의 근거지가 영국이라는 뜻은 아니다"라고 말했다. 이번 결과로 해커 또는 해커조직이 '북한' 또는 '종북세력'일 것이라는 국가정보원 등의 주장은 상당히 설득력이 떨어질 것으로 예상된다. 경찰청 사이버테러대응센터와 정보보호진흥원은 또 이번 악성코드가 좀비PC 안에 있는 파일 목록을 59개국의 416개 서버로 전송하도록 하는 스파이웨어 기능을 가지고 있는 것으로 확인됐다고 밝혔다. 이 악성코드는 디도스 공격 전 좀비PC의 '내문서' '바탕화면' '최근문서' 등 폴더에 있는 파일들의 이름을 압축해 이들 외부 서버로 전송한 것으로 파악됐다. 경찰은 416개 서버 가운데 우리나라에 15개가 있는 사실을 발견하고 이들 서버의 접속을 차단하는 한편 12개 서버를 입수해 분석 중이다. 나머지 해외 401개 서버는 한국정보보호진흥원(KISA)이 접속을 막아놓은 상태다. 주목할 점은 디도스 공격에 사용된 악성코드가 사이트를 마비시키기 전 감염된 좀비PC에서 자료 유출을 먼저 시도했다는 점이다. 이와 관련, 해커가 먼저 PC에서 자료 목록을 입수한 후 이를 은폐하기 위해 디도스 공격이라는 방법을 동원했을 가능성이 높다는 분석이 제기되고 있다. 디도스 공격에 초점이 맞춰져 있는 사이 필요한 정보를 분석해 빼내가려 했다는 것이다. 방송통신위원회의 한 관계자는 "파일 목록을 먼저 가져간 것은 나중에 목록을 분석한 후 중요정보를 따로 가져가려고 했을 수 있다는 것을 의미한다"며 "악성코드도 원래 이러한 목적으로 심어놓았을 가능성이 높다"고 말했다. 디도스 공격과 좀비PC의 자폭 등도 이를 위한 연장선상에서 이뤄진 것이라는 주장도 대두된다. 디도스 공격이 시작된 후 수사기관 등의 추적이 시작되자 해커가 이를 은폐하기 위한 일련의 과정일 수 있다는 지적이다. 하지만 당국의 발표처럼 정보목록만 빼내간 것인지 아니면 자료내용까지 유출해간 것인지는 아직 불확실하다. 특히 금융기관이나 연구원들이 감염된 좀비PC를 신고할 때 '기관용'으로 알려오는 게 아니라 '일반PC'로 보고하기 때문에 개연성은 더욱 높다. 정보보호진흥원의 한 관계자는 "현재 접수된 PC는 대부분 개인용으로 돼 있다"면서도 "좀비PC가 있다고 하면 기관의 신뢰성을 떨어뜨리기 때문에 신고를 꺼리고 있는 것도 한 요인"이라고 설명했다. 혼자 웃는 김대리~알고보니[2585+무선인터넷키]

관련기사



<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>




더보기
더보기





top버튼
팝업창 닫기
글자크기 설정
팝업창 닫기
공유하기