1차, 2차 공격에 동원된 좀비PC 서로 달라

정부기관 사이트에 대한 DDoS(분산서비스거부) 공격 사건을 수사 중인 경찰은 9일 공격에 동원된 `좀비PC'를 추가로 확보하고자 피해 사이트의 IP 추적에 주력하고 있다.

경찰 관계자는 "이번 수사에서 핵심은 악성코드가 유포된 경로를 추적하는 것이다.

최대한 많은 좀비PC를 확보해 이들 PC가 공통으로 방문한 사이트나 다운로드한 파일을 파악하는 방법으로 근원지를 추적할 계획이다"라고 말했다.

경찰은 7일 1차 공격에 이어 8일에도 국가정보원이나 안철수연구소 등에 2차 공격이 이뤄짐에 따라 수사 범위를 확대했다.

경찰은 IP추적을 통해 1차 피해 사이트인 네이버, 농협, 외환은행, 조선일보에서 로그기록을 확보했고 2차 공격 사이트 중에서는 국민ㆍ하나은행에서 관련 기록을 넘겨받았다.

이를 통해 경찰이 추산한 좀비PC는 1차 공격은 2만3천대, 2차는 1만6천대다.

경찰은 1차와 2차 공격에 동원된 좀비PC는 대부분 IP주소가 달랐고, 주소가 중복되기도 했지만 1천대 수준을 넘지는 않을 것이라고 설명했다.

이에 따라 1차와 2차 공격에 사용된 PC는 각기 다른 경로로 악성코드에 감염됐을 것으로 분석된다.

그러나 1차와 2차 공격을 가져온 악성코드는 공격 대상 주소(URL)가 다르지만 실행코드가 같은 것으로 드러나 결국 같은 해커 집단이 1차, 2차 공격용 악성코드를 따로 제작해 유포한 것으로 추정된다.

경찰은 1차 공격과 관련해 동대문구 청량리 가정집과 동작구 숭실대학교, 관악구 봉천동의 한 PC방에서 좀비PC를 한 대씩 가져왔고 한국정보보호진흥원(KISA)에서 좀비PC의 하드디스크 이미지를 전송받았다.

8일 이뤄진 2차 공격을 조사하고자 피해 사이트 로그기록 분석을 통해 서초동과 사당동 PC방에 설치된 2대의 좀비PC를 확보해 분석 중이다.

IP 추적이 진척될수록 좀비PC를 확보하는 속도도 빨라질 것으로 경찰은 기대하고 있다.

한편, 안철수연구소는 1차 공격에 동원된 좀비PC들이 공격 대상 목록을 담은 파일(uregvs.nls)을 자체 생성하는 것으로 추정하고 이날 오후 6시 3차 공격이 예정돼 있다고 밝혀 경찰도 관련 내용을 확인 중이다.

(서울연합뉴스) 윤종석 기자 banana@yna.co.kr