공격명령 전달서버는 61개국 435대 악용돼
7일 청와대, 국방부 등 국내 주요기관 웹사이트를 마비시킨 디도스(DDoS) 공격을 유발한 악성코드는 초기 국내 웹하드 사이트 2곳을 통해 이용자들에게 유포됐던 것으로 확인됐다.
디도스 공격사건을 수사 중인 경찰청 사이버테러대응센터는 27일 중간 수사발표를 통해 "DDoS 공격자들이 서울과 부산 2곳의 웹하드 사이트를 해킹한 뒤 이곳을 통해 악성코드를 유포했다"고 밝혔다.
웹하드 사용자들이 해당 사이트를 접속하면, 내려받는 전용 업데이트용 프로그램을 악성코드로 바꿔치기했다는 것.
경찰 조사에 따르면, 현재 27대의 좀비PC 중 21대가 이들 사이트를 통해 초기 악성코드가 유포된 것으로 확인됐다.
이렇게 이용자PC에 깔린 악성코드는 중간 경유서버(C&C)들과 네트워크 교신을 통해 DDoS 공격명령이나 하드디스크 파괴, 시스템 정보 유출 등의 명령파일들을 내려받았다.
경찰은 최소 61개국 435대 서버가 DDoS 공격자가 좀비PC에 공격 명령이 담긴 파일을 전달하는 중간 경유서버(C&C)로 악용됐다는 사실도 확인했다.
특히, 기존 DDoS 공격 형태와는 달리, 이번 DDoS 공격은 좀비PC 관리, 파일정보 수집, 악성코드 공급, 좀비PC 파괴 등 4개의 C&C서버그룹이 순차적으로 각각의 기능을 수행했던 것으로 드러났다.
사이버테러대응센터가 독일 경찰로부터 확보한 좀비PC 관리 서버 분석 결과에 따르면, 악성코드에 감염돼 시스템 정보를 전송한 좀비PC가 전세계 5만5596대로, 이 중 98%(5만4628대)가 우리나라 PC였던 것으로 확인됐다.
또 우리나라 15대를 포함해 총 59개국 416대로 구성된 파일정보 수집서버로 이용됐는데, 이중 국내외 17곳을 분석한 결과, 악성코드에 감염될 경우 PC에 저장된 파일목록 일부가 유출됐던 것으로 확인됐다.
특히 경찰은 이들 서버에 저장된 데이터는 또다시 캐나다, 베네수엘라, 이스라엘 등 3개국 3대의 서버에 재전송되고 있는 사실도 파악, 3개국으로부터 관련 자료를 확보해 정보의 최종 귀착지와 활용목적 등을 규명해 나갈 예정이다.
독자들의 PICK!
한편, 실제 DDoS 공격을 수행하는 악성코드는 미국 서부 농장 홈페이지 서버를 통해 유포된 것으로 확인됐다. 경찰은 미국 FBI 사이버수사조직내 'DDoS 사건 TF' 등에 해당사실을 통보했다.
실제 좀비PC 파괴용 명령코드를 좀비PC에 전달했던 좀비PC 파괴용 서버는 총 6대 서버인 것으로 확인됐다.
경찰 관계자는 "이번 DDoS 공격은 전세계 61개국의 서버가 연루됐으며, 공격명령은 해외서버를, 악성코드 유포는 국내서버를 활용한 입체적인 공격구조로 구성됐다"며 "그러나 좀비PC들의 최초 감염경로가 모두 국내 웹사이트로 확인됨에 따라 웹하드 사이트를 이용할 때 네티즌들의 각별한 주의가 당부된다"고 밝혔다.