경찰청 사이버테러대응센터는 지난 3월 3일부터 5일까지 국내 주요 40개 사이트를 대상으로 발생한 분산서비스거부(DDoS) 공격을 수사한 결과, 지난 2009년 7월 7일 발생한 DDoS 공격과 동일범임을 확인했다고 6일 밝혔다.
경찰청은 지난 7·7 DDoS 공격의 배후로 중국에 소재한 북한 체신성이라고 발표한 바 있다.
경찰청은 행정안전부·방송통신위원회(한국인터넷진흥원) 등 유관기관과 협조 △악성코드 유포사이트 △국내 감염 좀비PC △해외 공격명령 서버를 확보해 정밀 분석한 결과를 이날 발표했다.
경찰청에 따르면 파일공유 사이트를 통해 악성코드를 유포하고 여러 단계의 해외 공격명령 서버(C&C)를 이용해 공격을 시도하는 등 공격체계 및 방식이 동일하다는 점, 악성코드 설계방식 및 통신방식이 정확하게 일치하는 등 동일 프로그래머에 작성된 것으로 입증된 점을 들어 3·3과 7·7의 공격자가 동일하다는 결론을 내렸다. 특히 3·3과 7·7 공격 시 활용된 해외 공격명령 서버 일부가 동일한 점 등을 결정적 증거로 제시했다.
또 지난해 8월 이후 7개월간 국내 파일공유 사이트 및 해외공격명령 서버를 해킹한 중국 소재 공격근원지 IP들을 확인하고 이 중 일부는 DDoS 공격 기간에 좀비PC로 위장해 진행상황을 점검한 사실도 밝혀냈다.
경찰청은 “전 세계 IP 주소는 42억개 이상으로 공개되지 않은 7·7 DDoS 공격의 C&C 서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능하다”며 “향후에도 공격 근원지 확인 및 해외 공격명령 서버 추가 확보를 위해 국제공조수사를 요청하는 등 계속 수사할 계획”이라고 말했다.
<표> 7·7 DDoS 공격과 비교
장윤정기자 linda@etnews.co.kr
