마스터 서버, 美→英 VPN 악용..."거대한 글로벌 공격망 형성"
한미 분산서비스거부(DDoS) 공격 근원지가 영국 인터넷주소(IP)를 경유한 미국 서버로 밝혀졌지만, 이마저 해킹됐을 가능성이 높아 DDoS 공격자 추적이 상당기간 장기화될 조짐이다.
무엇보다 해커가 가상사설망(VPN)을 사용하는 업무간 시스템을 마스터 서버로 악용했다는 점에서 DDoS 공격자들이 사전에 치밀한 준비 작업을 했을 것이라는 게 보안 전문가들의 지적이다.
◇美→英 VPN 악용한 마스터 서버 왜?
IDG 등 외신에 따르면, 이번 DDoS 공격을 총지휘한 마스터 서버는 미국 마이매미에 소재한 서버인 것으로 알려졌다.
해당 마스터 서버는 영국 IPTV업체인 G사와 가상사설망(VPN)을 통해 IPTV 프로그램을 주고받는 업무용 서버로, 이마저 누군가에게 해킹을 당해 74개국 16만6000 IP의 좀비PC들에게 공격명령을 전달하는 총지휘 컴퓨터로 악용된 것으로 관측된다.
DDoS공격자들이 사전에 치밀한 사전작업없이 불가능하다는 게 보안 전문가들의 지적이다. 공격자들은 통상 웹서버를 해킹한 뒤 마스터 서버로 이용한다. 인터넷을 통해 외부에 항상 노출될 수밖에 없는 웹서버가 뚫을 수 있는 취약점이 훨씬 많기 때문이다.
그러나 공격자들은 가상사설망(VPN)으로 데이터를 주고받는 업무용 서버를 노렸다. 가상사설망(VPN)은 공개 인터넷망을 통해 데이터를 주고받지만, 암호화된 통신방식을 사용하기 때문에 마치 기업간 전용회선처럼 사용할 수 있다.
이번 DDoS 공격을 총지휘한 서버는 미국에 있지만, 실제 전세계 중간경유지서버로 공격명령을 전달한 것은 VPN망의 종단지점인 영국 D사의 서버인 셈이다. 공격자가 이를 노린 것은 총지휘본부격인 마스터 서버를 오랜기간 들키지 않고 지휘체계를 유지할 수 있기 때문이다.
영국 D사 서버가 직접 해킹된 것이 아닌데다, 정작 미국에 소재한 마스터 서버의 공격명령은 VPN 암호화 통신으로 이뤄지기 때문에 확인이 어렵다.
결국 공격자는 사전에 미국과 영국 업체간 이뤄지는 서비스 운영구조를 애초에 파악하고 있었다는 얘기다. 여기에 IPTV 업무용 서버의 경우, 24시간 서비스가 유지돼야하기 때문에 일반 웹서버에 비해 정기적인 서버 정밀 점검이 사실상 어렵다는 점도 간파하고 있었던 것으로 분석된다.
독자들의 PICK!
보안업계의 한 전문가는 "이것이 사실이라면 공격자는 이미 사전에 한국적 네트워크 상황은 물론 영국의 IPTV 서비스망 구성 역시 꿰뚫고 있었다는 얘기"라며 "적어도 이정도 공격망을 형성하기 위해선 일정 수준 이상의 실력을 갖춘 국제적 조직범들의 소행일 가능성이 높다"고 말했다.
◇DDoS 공격자 추적 '시계제로'
이번 DDoS 공격을 총지휘한 마스터 서버는 발견됐지만, 정작 공격자 추적이 제대로 이루어질지는 미지수다.
이 정도 정교한 사전 준비작업이 진행됐다면, 마스터 서버에 접근한 접속흔적을 삭제했을 가능성이 높다는 것이 보안 전문가들의 지적이다.
설령, 마스터 서버를 원격지에서 조정한 컴퓨터를 찾는다 해도 이마저 또다시 경유지 컴퓨터로 이용했을 가능성도 없지 않다.
여기에 미국 마이애미 소재의 서버 외에 또다른 마스터 서버의 존재 가능성도 없지않다.
무엇보다 이번 DDoS 공격이 마스터서버(총지휘서버)→중간경유서버(명령제어)→좀비PC→데이터유출용서버에 이르기까지 전세계 수십여개국에 걸친 공격망으로 이루어졌다는 점에서 수사당국을 더욱 곤혹스럽게 하고 있다.
해외국의 마스터 서버와 중간경유 서버에 대한 수사권한은 해당국의 수사당국 권한이기 때문이다. 신속한 수사공조체계 없인 단기간에 전체 사이버 공격망의 윤곽조차 파악하기 어려운 실정이다.