유포 경위 파악, 디도스 근원지 추적 주력 경찰청 사이버테러대응센터는 4일 청와대와 국가정보원 등 국가기관과 금융기관, 주요 인터넷기업 웹사이트를 상대로 발생한 분산서비스거부(디도스:DDos) 공격 행위에 대한 전면 수사에 착수했다. 경찰은 디도스 근원지를 찾는 데 주력하고 있다.
경찰 관계자는 "오늘 오전 좀비PC들에 악성코드를 유포하는데 활용된 파일공유 사이트 업체 2곳에 수사관을 보내 유포 경위를 파악하고 서버가 해킹 당한 적이 있는지 등을 확인하고 있다"고 말했다.
해당 파일공유 사이트는 업체 사무실이 서울에 있는 `슈퍼다운'과 부산의 `쉐어박스' 등 2곳이다.
경찰은 이들 업체의 서버가 입주해 있는 인터넷데이터센터(IDC)에서 해킹당한 서버의 하드디스크를 임의제출 형식으로 복제해 해킹 근원지를 추적할 계획이다.
경찰은 또 피해 기관이나 업체에도 수사관을 급파해 공격을 받은 기록 확보에 나섰으며, 피해 사이트에 공격을 가한 IP를 확인해 좀비PC를 파악하는 데도 주력하고 있다.
아울러 좀비PC에 심어진 악성코드 샘플을 확보해 어떤 공격 기능을 갖고 있는지를 분석 중이다.
경찰에 따르면 이번 디도스 공격은 2009년 7월7일부터 사흘간 국내 21개, 미국 14개 웹사이트를 겨냥한 7.7 디도스 대란 때와 악성코드 유포 방법이나 공격의 기술적인 수법 등이 동일하다.
7.7 디도스 대란 때는 2곳의 파일공유 사이트를 해킹해 악성코드를 심은 데다 업데이트 프로그램을 악성코드로 바꿔치기해 좀비PC를 양산해 냈다.
이번에도 일단 악성코드가 심어진 파일공유 사이트가 서울과 부산의 2곳이며, 좀비PC 양산 수법도 악성코드로 바꿔치기 된 업데이트 프로그램을 심는 방식인 것으로 확인됐다고 경찰은 설명했다.
그동안 발생한 사이버테러 가운데 업데이트 프로그램을 악성코드로 바꿔치기하는 수법은 7.7 디도스 대란 때 사용된 이후 처음이라고 경찰은 전했다.
경찰은 7.7 디도스 대란 직후 수사를 벌여 3개월 만에 공격 근원지가 중국에서 북한 체신성이 사용하는 IP(인터넷주소)인 사실을 밝혀낸 바 있다. 경찰은 이번 공격도 북한의 소행일 가능성을 배제하지 않고 있다.
특히 이번 공격 피해 사이트 가운데 7.7 디도스 대란 때는 피해가 없던 커뮤니티 사이트 `디시인사이드'가 포함돼 있는 것에 경찰은 주목하고 있다.
디시인사이드의 `연평도 북괴도발 갤러리(연북갤)'는 올해 1월6일 디도스 공격을 받아 40여분간 접속 장애를 일으켰는데 연북갤 이용자들은 이를 북한의 소행으로 믿고 보복 차원에서 북한의 대남선전 웹사이트 `우리민족끼리'를 해킹했다.
하지만 당시 범인은 네티즌의 관심을 끌려는 `철없는' 10대 남자인 것으로 밝혀졌다.
경찰 관계자는 "여러 부분에서 7.7 디도스 대란 때와 유사하다는 점에서 북한의 소행일 가능성을 배제하지 않고 있지만 정확한 수사 결과가 나오기 전까지 (북한이 한 짓이라고) 단정할 수 없다"고 말했다.
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]
![[설왕설래] 공포의 집속탄](http://img.segye.com/content/image/2024/06/25/128/20240625519556.jpg
)
![[데스크의눈] 월마트식 유통혁신 한국은 안 되나](http://img.segye.com/content/image/2023/02/21/128/20230221518847.jpg
)
![[오늘의시선] 꿈틀대는 부동산시장, 필요한 정책은](http://img.segye.com/content/image/2024/06/25/128/20240625519481.jpg
)
![[김상미의감성엽서] 고향의 선물](http://img.segye.com/content/image/2024/02/06/128/20240206519409.jpg
)
