• 정부기관 사이트 해킹 사건에 대해 검찰과 경찰이 수사에 난항을 겪고 있어 해커의 첨단 기법에 관심이 쏠리고 있다. 통상적인 분산서비스거부(DDoS) 공격은 중간 조정(C&C:Command&Control) 서버가 있어 그나마 해커에 대한 단서가 될 수 있으나 이번 사건에는 그조차 없기 때문이다.

    8일 행정안전부와 안철수연구소 등에 따르면 C&C 서버는 DDoS 공격을 시도하는 해커가 불특정 다수의 인터넷 사이트에 악성코드를 숨겨놓은 뒤 이 사이트에 접속한 PC를 감염시켜 해당 PC를 서버의 통제 아래 두게 한다. 이후 감염된 이른바 '좀비 PC'들이 C&C 서버의 원격 조종에 따라 특정 사이트를 상대로 지속적으로 악성 트래픽을 발생시켜 사이트를 마비시키는 것이 일반적인 DDoS 공격의 수법이다.

    따라서 일단 DDoS 사건이 발생하면 수사기관은 좀비 PC의 '컨트롤타워'인 C&C 서버의 소재 파악에 나서게 되고 이를 통해 해커에 대한 실마리를 찾아나가는 식으로 수사를 진행하는 것이다. 물론 이 경우도 해커들이 제3국에 서버를 위치시키고 자신의 신분을 감추는 데다 서버와 좀비 PC와의 연결 통로를 여러 곳을 거치는 식으로 추적을 막아놓기 때문에 해커를 잡는다는 것은 쉽지 않다.

    더욱이 이번 사태는 아예 C&C 서버를 사용하지 않은 것으로 파악되고 있어 최소한의 단서를 찾는 데까지도 큰 어려움이 예상된다. 현재까지 조사 결과 이번 사건에서 범인은 C&C 서버를 사용하는 대신 악성코드 자체에 공격 명령을 사전에 심어놓은 것으로 나타났다.

    경찰이 좀비 PC 한 대를 입수해 정밀 분석한 결과 감염된 PC는 인터넷에 연결된 이상 초당 수백~수천개의 트래픽을 지속적으로 발생시키며, 청와대와 백악관 등 우리나라와 미국 등 피해 사이트 25곳에 대한 공격 명령을 자체 내장하고 있는 것으로 드러났다.

    결국 해커는 악성코드만 유포시킨 뒤 자신과의 연락을 끊어버림으로써 추적을 원천 차단한 것이다. C&C 서버와의 연결을 차단함으로써 추가 피해를 막는 보안조치 역시 무용지물로 만들었다. 악성코드 유포의 경우 무수히 많은 사이트와 국가 간 경유를 통해 경로를 복잡하게 할 수 있는 탓에 수사 기관이 이를 추적하는 것은 사실상 불가능에 가깝다는 것이 정설이다.

    실제로 악성코드 유포는 범인 검거 자체를 기대하기 어려우며, 이 같은 수법을 통한 DDoS 공격이 지난해 말 등장해 늘고 있다고 업계는 전했다. 뿐만 아니라 해커는 시간별로 공격 방식을 달리하는 수법을 씀으로써 DDoS 전문 보안장치의 감시망을 빠져나간 것으로 확인됐다.

    행정안전부에 따르면 청와대의 경우 실시간으로 DDoS 공격을 탐지하는 보안장치가 있으나 이번 공격은 다양한 패턴으을 취함으로써 악성 트래픽 여부를 기계가 감지하지 못해 제때 차단 조치를 취하지 못했던 것이다.

    안철수연구소 시큐리티대응센터 조시행 상무는 "범행 기법 자체가 추적이 쉽지 않은 데다 사건 발생 이후 해커가 활동을 중단하고 있어 당장 정확한 유포지를 찾아내기는 쉽지 않을 것"이라며 "일단 감염된 PC를 치료하고 더 이상의 피해를 막는 동시에 면밀한 감시 활동을 통한 예방 활동에 주력하고 있다"고 말했다.(서울=연합뉴스)