이달 초 청와대·국방부·조선일보 등 주요 기관의 홈페이지를 마비시킨 분산서비스거부(DDoS·디도스) 공격은 국내 웹하드 사이트를 통해 유포된 악성코드에 의해 이뤄진 것으로 드러났다.
경찰청 사이버테러대응센터는 디도스 공격에 사용된 이른바 '좀비 컴퓨터(해커가 악성코드나 바이러스를 심어 놓은 컴퓨터)'를 분석한 결과, 지난 7일 발생한 '7·7 사이버 테러'에 동원된 악성코드가 서울과 부산에 서버를 둔 국내 소규모 웹하드 사이트 2곳을 통해 처음 유포된 사실을 확인했다고 27일 밝혔다. 웹하드 사이트는 동영상 파일 등을 올리거나 내려받을 수 있는 공간이다.
경찰은 "해커들이 악성코드를 웹하드 전용 프로그램의 업데이트 파일로 위장해 심어 놓았다"고 밝혔다. 파일 자료를 이용하기 위해 이들 사이트에 접속했던 네티즌들이 프로그램 업데이트 항목을 클릭하는 순간 자신도 모르게 악성코드에 감염됐다는 것이다.
디도스 공격 때 좀비 PC를 관리하고 공격 명령을 내린 네트워크형 중간조종(Command & Control) 서버의 존재도 확인됐다. 이들 서버는 ▲좀비 PC의 IP 주소 유출 ▲파일 목록 유출 ▲공격명령 전달 ▲PC 하드디스크 삭제 등 4가지 기능을 단계적으로 수행해 결국 '자폭'에 이르게 하는 것으로, 국내에서는 처음 등장한 형태였다.
경찰은 "이번 공격에 동원된 좀비 PC는 최소 61개국, 432대의 서버와 연락을 주고받으며 디도스 공격을 한 것으로 드러났다"고 밝혔다.
경찰이 악성코드의 감염 경로를 통해 해커의 근원지를 역추적하고 있지만 결정적인 소재 파악까지는 이르지 못한 상태다. 사이버테러대응센터 최인석 수사실장은 "디도스 공격을 감행한 해커는 우리 인터넷 환경을 잘 아는 인물로 추정된다"면서도 "악성코드가 유포된 곳이 국내 사이트라고 해서 해커 집단이 국내에 있다고 볼 수는 없다"고 말했다.
