경찰청 사이버테러대응센터는 DDos공격에 사용된 좀비컴퓨터를 분석한 결과 부산과 서울에 근거를 둔 국내 웹하드 사이트를 통해 악성코드에 최초 감염됐다고 27일 밝혔다.
이렇게 악성코드에 감염된 좀비컴퓨터는 독일과 미국, 오스트리아, 태국 등 전세계에 퍼져있는 4개그룹의 C&C(command&control)서버에 순차적으로 접속하게 된다.
''좀비컴퓨터 관리서버''->''파일정보 수집서버''->''악성코드 공급서버''->''좀비컴퓨터 파괴서버'' 등 네트워크화된 4단계 C&C서버는 치밀하게 연결돼 DDos 공격에서 각자의 역할을 수행했다.
우선 독일과 미국, 태국 등에 위치한 ''좀비컴퓨터 관리서버''는 웹하드 사이트를 통해 최초 감염된 좀비컴퓨터들과 교신하며 위치를 파악한 뒤 좀비컴퓨터들이 2번째 C&C서버 그룹인 ''파일정보 수집서버''에 접촉하도록 하는 안내자 역할을 했다.
이어 ''파일정부 수집서버''는 좀비컴퓨터 내부에 있는 파일목록을 유출하도록 명령을 내렸으며, 이렇게 유출된 파일목록은 다시 캐나다와 베네스엘라, 이스라엘에 있는 서버로 재유출됐다.
''악성코드 공급서버''는 ''XXX.jpg''라는 파일명으로 그림파일로 위장한 파일을 좀비컴퓨터에 전송한 것으로 드러났으며, 이 서버는 미국 서부에 위치한 한 농장 홈페이지에 숨겨져 있었다.
경찰은 미국 FBI 소속 사이버수사조직인 ''DDos 사건 TF팀''에 이를 통보했으며, 이 농장의 컴퓨터 서버를 압수해 분석작업을 벌이고 있다고 밝혔다.
마지막으로 DDos 공격을 감행한 좀비컴퓨터는 ''좀비컴퓨터 파괴서버''에 접속해 하드디스크를 파괴하는 작업을 수행했다.
경찰은 "이들 C&C서버가 전세계 61개국에 걸쳐 432대가 존재한다"며 "이번 DDos 공격이 그동안 유래를 찾아볼 수 없었던 글로벌화된 사이버테러인 것으로 파악하고 있다"고 밝혔다.
이처럼 DDos 공격의 실체를 어느정도 파악함에 따라 경찰은 이번 공격을 감행한 해커집단을 찾는 데 수사력을 모을 방침이다.
사이버테러대응센터 관계자는 "각각의 C&C서버들이 모두 해킹을 통해 DDos 공격에 사용된 만큼 접속기록 등을 통해 해킹의 근원지를 파악하는데 주력할 계획이다"라고 밝혔다.
하지만 해커집단들이 해킹근거지를 이미 떠났거나 해킹근거지를 찾지 못하도록하는 여러가지 교란장치를 만들어뒀을 가능성도 높아 이들을 검거하는데는 앞으로도 상당한 시간이 필요할 전망이다.