25일 국가정보통신망을 겨냥한 디도스(DDoS) 공격에 사용됐던 악성코드가 정보당국에 수집돼 분석 중이다.
이날 국가기간망을 비롯해 청와대와 국무총리 비서실, 일부 언론기관들을 겨냥한 공격 주체를 밝힐 수 있는 단서가 될 지 여부가 주목된다.
25일 오후 정부 합동조사팀 관계자는 "국가정보통신망 공격에 사용된 악성코드를 수집해 현재 분석 작업을 진행 중"이라고 밝혔다.
청와대와 국무총리 비서실 홈페이지 해킹 뒤 낮 12시경부터 미래부, 국정원, 국방부 등 정부기관 사이트들이 일시 마비되거나 늦게 홈페이지가 열리는 등 접속장애가 발생한 바 있다.
이에 대해 정부는 사용자가 정부기관 사이트 주소입력시 해당 사이트와 연결해주는 지점인 도메인네임서버(DNS)에 집중적인 과부하를 일으키는 디도스 공격에 당한 것으로 분석하고 있다. 가령, 'go.kr' 도메인 서버를 집중 공격함으로써 go.kr 도메인을 쓰는 정부기관들의 접속을 막는 형태다.
해당 공격에 사용된 좀비PC내 악성코드 샘플은 현재 채증돼 일부 보안업체에서 분석작업을 진행 중이다. 보안업계의 한 관계자는 "현재 채증된 악성코드를 통해 분석작업을 진행 중이지만, 분석자체가 어렵도록 제작돼 있어 상당한 시간이 소요될 수 있다"고 밝혔다.
악성코드 분석작업이 끝나면, 악성코드 제작기법과 이와 연결된 C&C(명령서버) 및 유포경로 등을 추적할 수 있게 된다.
한편, 정부 합동조사팀은 이날 사이버 테러를 당한 청와대 홈페이지 등 피해서버를 대상으로 로그인 IP(서버주소) 등을 분석 중인 것으로 알려졌다.