1
지난달 4일 청와대 등을 상대로 발생한 ''분산서비스거부''(디도스 DDoS) 공격은 지난 2009년 이른바 ''7.7대란'' 때와 동일범의 소행인 것으로 드러났다.
경찰청 사이버테러대응센터는 6일 "지난달 3~5일 국내 주요 사이트 40곳을 대상으로 발생한 디도스 공격에 대해 수사한 결과 이같이 확인했다"고 밝혔다.
디도스 공격에 활용된 ''해외 공격명령 서버'' 일부가 2년 전 ''7.7대란'' 때와 동일한 IP 주소인 걸로 드러났다는 것.
경찰청 관계자는 "전 세계 IP 주소는 42억개 이상"이라며 "외부에 공개되지 않은 ''7.7대란'' 때의 공격명령 서버와 동일한 IP를 사용했다는 건 동일범이 아니면 불가능하다"고 설명했다.
경찰은 또 파일공유사이트를 통해 악성코드를 유포하거나, 여러 단계의 해외 공격명령서버를 이용하는 등 디도스 공격 체계와 방식이 동일한 것으로 보고 있다.
이와 함께 악성코드의 설계방식과 통신 방식이 정확하게 일치하는 점도 이같은 판단의 근거가 됐다.
경찰청 관계자는 "불상의 해커가 파일 공유 사이트의 업데이트 파일을 바꿔치기하는 수법으로 악성 코드를 유포해 10만여 대의 PC를 감염시켰다"며 "이어 해외 70개국 746개의 ''공격 명령 서버''가 실시간으로 좀비PC를 제어하며 명령을 하달했다"고 설명했다.[BestNocut_R]
특히 ''공격 명령 서버'' 해킹에 사용된 중국 소재 IP주소의 ''공격 근원지'' 가운데 일부는 좀비PC로 위장, 디도스 공격 기간 진행 상황을 점검까지 한 것으로 드러났다.
경찰은 그러나 지난달 디도스 공격의 구체적 근원지는 아직 특정하지 못했다. 2년 전 ''7.7대란'' 당시 공격 근원지는 중국에 소재한 북한 체신성의 IP 주소로 확인된 바 있다.
경찰청은 공격 근원지 확인과 공격명령 서버 추가 확보를 위해 국제 공조수사를 이어간다는 방침이다.