경찰, 교차비교 통해 감염경로 역추적

정부기관 사이트에 대한 DDoS(분산서비스거부) 공격 사건을 수사 중인 경찰은 9일 이 사이트 접속에 이용된 `좀비PC' 3대를 추가로 찾아내 분석 중이다.

경찰 관계자는 "해커가 유포한 악성코드에 감염돼 DDoS 공격에 가담하게 된 좀비PC를 3대 더 찾아내 분석 작업을 벌이고 있다"고 말했다.

경찰은 동작구 숭실대학교와 관악구 봉천동의 한 PC방에서 좀비PC를 한 대씩 가져왔고, 한국정보보호진흥원(KISA)으로부터 KISA가 자체적으로 입수한 좀비PC의 하드디스크 이미지를 전송받아 확보했다.

경찰은 앞서 8일 오전 동대문구 청량리의 한 가정집에 있던 PC가 좀비PC라는 사실을 확인, 이 PC를 임의제출 받아 분석 작업을 벌였다.

그러나 악성코드가 PC를 감염시킨 후 접속 흔적을 자동 삭제해 해킹 근원지 추적에는 어려움을 겪고 있다.

경찰은 추가로 확보한 좀비PC들의 과거 사이트 방문 이력 등을 교차 대비해 공통점을 찾아내고, 이를 토대로 해커가 숨겨놓은 악성코드에 이들 컴퓨터가 감염된 경로를 역추적키로 했다.

경찰은 또 피해 사이트에 직원을 급파해 로그 기록 등을 확보하고 있으나 해당 기관의 사이트에 DDoS 공격이 계속되고 있어 관련 기록 입수에 어려움을 겪은 것으로 알려졌다.

경찰은 전날 오후 국가정보원과 행정안전부 등 10여개 사이트에 또 다른 변종 악성코드에 의한 2차 DDoS 공격이 진행됨에 따라 2차 피해 사이트에 대한 공격도 수사할 계획이다.

(서울연합뉴스) 윤종석 기자 banana@yna.co.kr