수만대의 PC를 감염시켜 국내외 정부기관과 포털사이트 등을 마비시킨 ‘분산서비스 거부(DDoS)’ 테러는 전문가집단에 의해 치밀하게 설계된 신종 해킹수법인 것으로 드러났다. 경찰은 해킹 수법의 과정을 역추적하면 해킹 주범을 붙잡을 가능성이 큰 것으로 보고 국제공조를 강화하기로 했다.

경찰청 사이버테러대응센터는 27일 중간수사 브리핑을 통해 “이번 사태는 유례를 찾아볼 수 없을 정도로 글로벌화된 사이버 테러이며 컨트롤 서버가 61개국에 걸쳐 432대가 존재하는 서버그룹으로 구성돼 있는 것으로 나타났다.”고 밝혔다. 또 악성 프로그램 유포지는 한국(서울과 부산)의 파일공유 사이트인 것도 확인했다. 경찰은 해커가 수만대가 넘는 공격수행PC를 양산하기 위해 네티즌들이 MP3나 동영상 등을 주고받는 데 사용하는 파일공유 사이트를 이용했다고 설명했다. 네티즌들은 파일 공유사이트에 접속할 때 사용하는 접속기 프로그램의 업데이트 파일과 바꿔치기된 악성 프로그램에 자신도 모르는 사이에 감염됐다.

경찰조사 결과 해커는 악성코드를 유포해 좀비PC를 양산함과 동시에 61개국 432대의 서버를 해킹해 4개군으로 나눠 좀비PC에 공격수행을 조종할 수 있도록 했다. 독일, 미국 등지의 공격수행PC 관리서버는 감염된 PC들이 어디에 있는지 정보를 모았고, 이를 통해 한국 등 59개국의 416개 파일정보 수집서버로 감염된 PC의 파일목록들이 유출됐다. 이어 미국의 한 농장에서 발견된 악성코드 공급서버는 공격시점과 공격대상 사이트 목록을 감염PC에 전달해 실제 공격을 이끌었다. 마지막으로 타이완, 과테말라 등의 공격수행PC 파괴서버는 임무를 마친 PC들이 하드디스크를 스스로 파괴하도록 명령한 것으로 나타났다.

경찰은 일단 이들이 추적이 어렵도록 시스템을 설계한 것으로 보고 있지만 이들이 또 다른 테러를 위해 이번 테러를 시험적으로 이용했을 가능성에도 무게를 두고 있다. 한 경찰 관계자는 “이같은 네트워트 형태는 잘 설계하면 아무도 눈치챌 수 없게 조용히 준비할 수 있고 일거에 대대적인 테러가 가능하다.”면서 “방대하고 치밀한 설계 수준을 놓고 볼 때 초대형 해커 집단일 가능성도 배제할 수 없는 상황”이라고 주장했다.

이 때문에 해외공조가 해커 검거의 관건이 될 것으로 보인다. 경찰 관계자는 “독일, 과테말라 등 일부 국가의 경우에는 곧바로 관련자료를 공유했지만 나머지 국가들은 자체수사를 고집하거나 공조가 늦어지고 있다.”면서 “시간이 지체될 경우 해커들이 근거지를 떠나거나 흔적을 지울 수 있는 우려가 크다.”고 말했다.

박건형기자 kitsch@seoul.co.kr