좀비PC 4대 확보, 대란 근원 찾아낼까

경찰이 9일 DDoS(분산서비스거부) 공격 사건 수사에 필수적인 일명 ‘좀비PC’ 3대를 추가로 확보하면서 수사에 속도를 내고 있다. 좀비PC란 DDoS 공격에서 해커가 유포한 악성코드에 감염돼 해커가 의도한 트래픽 공격에 사용자도 모르게 동원되는 일반 PC를 뜻한다.

이번 사건에서 해커가 특정 사이트에 악성코드를 심어놓으면 해당 사이트를 방문한 일반 PC가 악성코드에 감염되면서 좀비PC가 됐다는 점에서, 경찰의 수사는 좀비PC가 어떤 사이트에서 악성코드에 감염됐는지를 역순으로 추적하는 식으로 진행된다.

경찰은 앞서 피해 사이트 로그 기록 등을 분석해 7일 오후부터 8일 오전까지 DDoS 공격에 사용된 좀비PC 한 대를 동대문구 청량리의 한 가정집에서 찾아내 분석 작업을 벌였다. 이어 9일 새벽에는 상도동 숭실대와 봉천동 PC방 등에서 3대의 좀비PC를 추가로 발견, 총 4대의 좀비PC를 확보해 교차 분석을 진행하고 있다. 경찰은 4대의 좀비PC를 분석해 이 PC들이 공통으로 방문하거나 내려받은 파일을 찾아내고, 이를 토대로 해커가 이 파일을 올려놓은 사이트를 추적할 방침이다. 경찰은 다시 이 사이트에 해커가 접근한 경로를 역추적해 해커의 최종 위치를 파악한다는 계획이어서 현 단계에서 경찰로선 되도록 많은 좀비PC를 확보하는 것이 수사의 관건이다. 그러나 경찰은 좀비PC를 확보하는데 필수적인 피해 사이트의 로그 기록을 입수하는 데 어려움을 겪는 것으로 전해졌다.

경찰은 전담팀 인원을 대거 투입해 해당 사이트 운영자 측에서 관련 기록을 확보하고 있지만 이 사이트들도 DDoS 공격을 막는 데 급급해 제대로 된 협조를 얻지 못하기 때문이다. 또 워낙 데이터양이 많아 PC 하드디스크에 숨어 있는 악성코드를 찾아 분석하는 일이 어렵고, 악성코드가 PC를 좀비 상태로 만든 후 자기의 접속 이력 등을 삭제하는 식이어서 추적도 쉽지 않다.

하지만 경찰 관계자는 “확보한 4대 외에 좀비PC들을 더 찾아내 이들 컴퓨터가 교차 방문한 사이트나 내려받은 파일들을 집중적으로 추적해 악성코드의 유통 경로를 밝혀내겠다”고 의지를 다졌다.

[연합뉴스]