경찰 “3.4DDoS 공격과 7.7DDoS 공격, 동일범 소행”

해외 70개국 746대 서버 동원, 디도스 공격 주도

[보안뉴스 오병민] 경찰청(사이버테러대응센터)은 지난 3월 3일부터 3월 5일까지 국내 주요 40개 사이트를 대상으로 발생한 DDos 공격에 대한 수사결과, 2009년 7월 7일 발생한 DDoS 공격과 동일범임을 확인했다고 밝혔다. 이에 따라 7.7 DDoS의 배후가 북한일 가능성에 염두를 뒀던 DDoS 공격 배후 수사에 대해서도 귀추가 주목되고 있다.

▲3.4 DDoS 공격 개요도 ⓒ경찰청

경찰청은 행안부·방통위(한국인터넷진흥원) 등 유관기관과 협조를 통해 악성코드 유포 사이트와 국내 감염 좀비PC, 해외 공격명령서버를 확보해 정밀 분석을 진행했다. 경찰측은 분석을 통해 불상의 해커가 파일공유사이트의 업데이트 파일을 바꿔치기 하는 수법으로 악성코드를 유포해 10만여 대의 PC를 감염시킨 뒤 해외 70개국 746개 공격명령서버(C&C : Command & Control)에서 실시간으로 좀비PC를 제어하면서 공격명령을 하달하는 등 공격 실체를 규명했다고 밝혔다.

특히 2010년 8월 이후 7개월간 국내 파일공유사이트 및 해외 공격명령서버를 해킹한 중국 소재 공격근원지 IP들을 확인하고 이중 일부는 디도스 공격기간 중 좀비PC로 위장하여 진행상황을 점검한 사실도 밝혀냈다.

경찰측은 7. 7 DDoS 공격자와 동일범임을 판단하는 근거로 △파일공유사이트를 통해 악성코드를 유포하고 여러단계의 해외 공격명령서버(C&C : Command & Control)를 이용하여 공격을 시도하는 등 디도스 공격체계 및 방식이 동일하다는 점 △악성코드의 설계방식 및 통신방식이 정확하게 일치하는 등 동일 프로그래머에 작성된 것으로 입증된 점 △특히 3. 4 DDoS 공격과 7. 7 DDoS 공격시 활용된 해외 공격명령서버 일부가 동일한 점 등을 결정적 증거로 제시했다.

전세계 IP 주소는 42억 개 이상으로 공개되지 않은 7. 7 DDoS의 C&C 서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능하다는 설명이다.

참고로 7.7 DDoS 사건은 2009년 7월 7일부터 9일까지 61개국 총 435대 서버를 활용해 한·미 주요기관 등 총35개 사이트를 DDoS 공격했다. 당시 경찰 수사결과에 따르면 공격근원지가 중국에 소재한 북한 체신성으로 확인됐다.

경찰은 7.7 DDoS 공격의 배후에 대한 수사를 진행하면서 배후에 북한이 있을 가능성까지 포함해 수사를 진행하고 있었다. 그런 상황에서 3.4 DDoS 공격도 7.7 DDoS 공격의 동일범일 가능성이 높아짐에 따라 북한 공격 가능성까지 염두에 둔 수사로 확대할 것으로 예상된다.

이에 따라, 경찰 측은 “향후 공격근원지 확인 및 해외 공격명령서버 추가 확보를 위해 국제공조수사를 요청하는 등 계속 수사를 진행할 계획”이라고 밝혔다.

- 7. 7 DDoS 공격과 3.4 DDoS 공격 비교 -

구 분	’09. 7. 7 디도스	’11. 3. 4 디도스	비 고
공격대상 사이트	국내 21개 사이트 해외 14개 사이트	국내 40개 사이트	국내 15개 사이트 중복
유포경로	파일공유사이트	파일공유사이트
유포수법	자동업데이트 파일을 악성코드로 바꿔치기	자동업데이트 파일을 악성코드로 바꿔치기
DDoS 공격수법	세션공격 중 CC공격	세션공격 중 CC공격	Cache Control의 약자로 디도스공격의 한 수법
공격 특징	특정일시에 맞춰 공격대상 재지정	특정일시에 맞춰 공격대상 재지정
자료삭제 기능	특정일시에 좀비PC 삭제	특정일시에 좀비PC 삭제
C&C 서버	61개국 435대 4단계 구조 및 마스터 서버 존재	70개국 746대 3단계 구조 및 마스터 서버 존재	일부 중복
악성코드 기능	디도스 공격 / 하드디스크 삭제 / 정보유출 / 스팸메일 발송	디도스 공격 / 하드디스크 삭제

[오병민 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)