청와대 등 주요 사이트 홈페이지를 마비시킨 분산서비스거부(DDoS) 공격 때 동원된 좀비PC 중 일부에서 데이터가 빠져나간 흔적이 포착됐다.
DDoS 공격이 끝나고 나서 악성코드의 ‘자폭’ 프로그램으로 좀비PC 1200여대의 데이터가 삭제되는 피해 사례가 속출했지만, DDoS 공격 이전 좀비PC의 내부 정보가 유출된 것이 확인된 것은 처음이다.
경찰청 사이버테러대응센터와 한국정보보호진흥원(KISA)은 14일 “좀비PC를 감염시킨 악성코드를 분석한 결과 좀비PC 내부의 파일 목록을 59개국의 416개 서버로 전송하도록 하는 기능이 있는 것으로 확인돼 조사 중”이라고 밝혔다.
악성코드는 DDoS 공격 전 좀비PC의 내문서·바탕화면·최근문서 등 폴더에 있는 파일들의 이름을 압축해 이들 외부 서버로 전송한 것으로 파악됐다. 그러나 아직은 좀비PC 내부에 저장된 파일 자체가 유출됐는지는 확인되지 않았다고 경찰은 전했다.
경찰은 이번 DDoS 공격을 유발한 해커 집단이 이들 서버에 접속해 좀비PC에서 빼돌린 정보에 접촉했을 가능성을 염두에 두고 추적하고 있다.
경찰은 “해커 일당이 좀비PC 내부 파일을 빼내지는 않고 PC에 어떤 파일들이 저장돼 있는지를 들여다본 것으로 파악됐다"며 "해커들이 왜 이런 일을 했는지도 알아보고 있다”고 말했다.
장지영기자 jyajang@etnews.co.kr