3.4 분산서비스거부(DDoS)공격이 지난 7.7대란과 동일범의 소행인 것으로 경찰청 수사결과 확인됐다. 7.7 DDoS공격 당시 근원지가 중국에 소재한 북한 체신성으로 확인된 바 있어 북한이 배후일 가능성도 높아졌다.
경찰청 사이버테러대응센터는 지난달 3일부터 5일까지 국내 주요 40개 사이트를 대상으로 발생한 DDoS공격을 수사한 결과, 지난 2009년 7월 7일 발생한 DDoS 공격과 동일범임을 확인했다고 6일 밝혔다.
경찰청은 파일공유사이트를 통해 악성코드를 유포하고 여러 단계의 해외 공격명령서버를 이용해 공격을 시도하는 등 지난 7.7대란과 공격방식이 동일하다고 분석했다. 악성코드의 설계방식 및 통신방식도 정확하게 일치해 동일 프로그래머의 소행인 것으로 판단했다.
경찰 조사결과, 지난 3.4DDoS공격은 해커가 파일공유사이트 업데이트 파일을 바꿔치기하는 수법으로 악성코드를 유포한 것으로 나타났다. 10만여대의 PC를 감염시킨 뒤 해외 70개국 746개 공격명령서버를 이용해 실시간으로 좀비PC를 제어한 것으로 알려졌다.
뿐만 아니라 지난해 8월 이후부터 국내 파일공유사이트 및 해외공격명령서브를 해킹한 중국 소재 공격근원지 IP확인 작업을 진행했다. 그 결과 이중 일부가 DDoS공격 기간 중 좀비PC로 위장해 진행상황을 점검한 사실도 밝혀졌다.
관련기사
- DDoS, 아직 끝나지 않은 이야기2011.04.06
- 안랩 "3.4 DDoS공격 7.7때 보다 강력"2011.04.06
- DDoS공격, 태블릿PC는 안전해?2011.04.06
- 29개 웹사이트 대상 DDoS 3차공격…"피해 없어"2011.04.06
경찰청 사이버테러대응센터 한 관계자는 전세계 42억개 이상의 IP주소 중 공개되지 않은 7.7대란 때의 공격명령서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능한 결정적 증거라고 말했다.
경찰청은 향후에도 공격근원지 확인 및 해외 공격명령서버 추가 확보를 위해 국제공조수사를 요청하는 등 계속 수사할 계획이라고 밝혔다.
