전세계 '곳곳'에 공격망 ..."대규모 정보유출 가능성도"
한미 양국 주요 기관사이트를 강타한 분산서비스거부(DDoS) 공격에 대한 새로운 사실들이 속속 포착되고 있다.
공격자가 전세계에 걸쳐 구성한 공격 네트워크가 당초 알려졌던 사실보다 훨씬 대규모인데다, 수십만대의 컴퓨터 정보 유출까지 시도한 것으로 밝혀졌다.
여기에 전체 공격을 총괄 지휘하는 마스터 서버가 영국내 컴퓨터인 것도 추가로 확인됐다.
이와 관련, 일각에선 '정보유출 시도'와 전세계에 걸쳐 공격 네트워크를 구성했다는 점에서 국제적인 범죄조직이 개입된 것 아니냐는 섣부른 전망까지 나오고 있다.
◇전세계 대규모 공격망 구성..좀비PC 규모도 16만대?
우선 이번 DDoS 공격에 동원된 국내 좀비PC 수가 7만8000개인 것으로 추가로 확인됐다. DDoS 공격 당시 추정됐던 2만~5만대의 PC수보다 훨씬 많은 수치다.
그러나 이같은 국내 좀비PC를 포함해 74개국 16만6000대라는 새로운 분석결과가 베트남 보안업체에 비해 제기됐다.
이것이 사실로 입증될 경우, 이번 DDoS 테러에 악용된 좀비 PC들이 대부분 국내 IP라는 그간 보안당국의 분석자체도 뒤집힌다. 하지만 국내 공격에 해외 IP의 좀비PC들이 제외됐을 가능성이 높아보인다.
베트남 보안업체는 또 중간 경유지 서버를 조정하는 마스터 서버가 영국에 있다는 분석결과도 공개됐다.
마스터 서버란 좀비PC들을 움직이기 위한 중간 경유지 서버에 명령을 내리는 서버로, 일종의 해킹 명령 컴퓨터를 말한다.
하지만 아직까지 실제 해커가 직접 조정하는 컴퓨터인지, 아니면 또다른 중간 매개 형태의 중간 명령 서버로 활용됐는지 여부는 영국 정부측의 수사결과가 나와봐야 알 수 있다.
마스터 서버 역시 1개가 아닌 여러 나라에 복수로 운영되고 있는 것 중 일부에 지나지 않을 가능성도 배제할 수 없다.
이를 종합해보면 지난 7월4일 미국 주요 웹사이트와 7월7일을 기점으로 한미 양국의 주요 웹사이트를 겨냥해 발생한 일련의 사이버 공격 시스템은 당초 예상해왔던 것보다 훨씬 대규모로 구성돼 있다는 분석이 가능하다.
◇'사이버 체계 교란' 속 '정보유출' 시도 왜?
독자들의 PICK!
DDoS 공격자들은 단순히 사이버 체계 교란 뿐 아니라 정보유출까지 시도했던 것으로 분석됐다.
경찰청은 14일 공격에 가담했던 좀비PC 일부를 분석한 결과, DDoS 공격과 스팸메일 발송기능, 하드디스크 파괴(자폭) 기능 외에 정보 유출 시도도 포착했다고 밝혔다.
공격자들은 DDoS 공격 개시 이전 좀비 PC에 저장된 파일목록 일부를 전세계 59개국 총 416대 시스템으로 빼간 것으로 확인했다.
경찰측은 "오피스 파일, 한글파일 등 파일목록 외에 실제 빠져나간 정보는 없는 것으로 파악됐다"고 밝혔지만, 이는 수사를 위해 확보된 일부 컴퓨터 하드디스크만 조사된 결과다.
이에 따라 실제 좀비PC를 겨냥한 내부 정보유출 여부도 쉽게 단정지을 수는 없는 상태.
특히 파일목록 유출은 컴퓨터 내부 '가치있는' 정보를 사전 탐색하기 위한 차원에서 진행됐을 가능성이 제기됨에 따라 실제 관공서 등에 소재된 좀비PC를 대상으로 정보유출 가능성도 배제할 수 없다는 게 보안 전문가들의 설명이다.
여기에 74개국 16만6000대의 컴퓨터가 좀비PC로 악용됐다는 사실이 입증됐을 경우, 전세계 주요 컴퓨터를 상대로 동시다발적으로 핵심 기밀 정보에 대한 유출 시도도 있었을 가능성도 제기되고 있다.
이 경우, 단순히 자기 존재감을 확인시키거나 '위기감'을 조성하기 위한 공격보다는 정보유출에 따른 금전적 이익을 노린 범죄 단체의 개입 가능성도 없지않다는 게 일각의 분석이다.