‘7·7 DDoS(분산서비스거부) 공격 대란’을 주도했던 악성코드는 서울, 부산 등 국내 두 군데 웹하드 사이트에서 유포된 사실이 확인됐다. 또 공격명령을 내리는 C&C 서버는 해외에 있는 것으로 드러났다.
경찰청 사이버테러대응센터는 27일 DDoS 공격자들은 서울과 부산 두 곳의 웹하드 사이트를 해킹해 이 사이트 이용에 필요한 프로그램의 업데이트 파일을 악성코드로 바꿔치기한 것으로 조사됐다고 밝혔다.
이용자가 웹하드에 접속해 전용 프로그램을 설치한 뒤 업데이트 하는 과정에서 악성코드를 받아 해당 PC가 좀비 PC로 돌변한 것이다.
경찰은 무작위로 분석한 27대의 좀비 PC 중 21대가 이들 웹하드 사이트를 통해 악성코드에 감염됐으며 또 다른 숙주사이트가 있는지 조사 중이다.
또 C&C 서버는 61개국에 432대가 있는 것으로 보고 있다. 이들은 △좀비PC 관리 △좀비PC 내부 파일정보 수집 △악성코드 공급 △좀비PC 파괴 기능을 각각 수행하는 것으로 좀비 PC는 이들 서버와 순차적으로 접속해 DDoS 공격자에게 PC 내부 정보를 제공하고 DDoS 공격과 자폭 등 명령을 수행한 것이다. 직접적으로 좀비 PC를 관리한 서버는 독일과 미국, 태국 등 6개국에 있는 9대다. 좀비 PC로부터 IP와 시스템 이름 등 시스템 정보를 전송받았다.
경찰은 독일 측으로부터 받은 좀비 PC 관리 서버를 분석한 결과 독일 서버에 시스템 정보를 전송한 좀비 PC 5만5596대 중 5만4628대(98%)가 우리나라 PC였다고 전했다. 한국을 포함해 59개국 416대(우리나라 15대)인 파일정보 수집 서버는 좀비 PC 내부에 저장된 파일 목록을 내려받았다.
정진욱기자 coolj@etnews.co.kr