DDoS테러 일으킨 악성코드 실체는?

치밀히 준비, 2~3일전부터 급속 유포 추정

↑ 악성코드 내부에 숨겨진 공격대상 리스트(출처:안철수연구소)

7일 청와대, 국방부, 외교통상부 등 국가 주요기관 홈페이지를 마비시키는 사상초유의 사이버테러가 발생한 가운데, DDoS 공격을 유발시킨 악성코드는 해커에 의해 치밀히 준비된 것으로 분석되고 있다.

8일 안철수연구소, NSHC 등 주요 보안업계에 따르면, 이번 공격에 사용된 악성코드 'msiexec2.exe'는 실행파일 내부에 공격 리스트를 담고 있었던 것으로 확인됐다.

이 악성코드 내부에 심어진 공격 대상 리스트는 청와대와 국방부, 외교통상부, 국회, 주한미군, 네이버블로그, 네이버메일, 농협, 신한은행, 외환은행, 옥션, 한나라당 등 12개 사이트이며, 이외에 미국 백악관과 국무부 등 14개 사이트 등이다.

더욱이 아직까지 구체적으로 확인되진 않았지만, 7일 특정일시에 맞춰 또다른 파일이 공격 대상 리스트를 읽어 해당 사이트를 공격하는 방식을 사용한 것으로 추정된다.

보안당국이 아직까지 공격 근원지를 못 찾는 이유다. 근원지를 찾기 위해선 중간에해커의 명령을 전달하는 컨트롤 서버(CC)를 찾아야하는데, 컨트롤 서버없이 악성코드 자체가 공격을 수행하기 때문이다.

이 악성코드의 샘플 분석 결과, 특정사이트를 공격할 때는 초당 100 패킷, 7 킬로바이트에 불과해 이를 위해선 적어도 수만대 이상의 좀비PC가 동원됐을 것으로 추정된다.

실제 방송통신위원회도 이날 브리핑을 통해 국내PC 1만8000대가 DDoS 공격에 악용된 것으로 파악하고 있다.


한편, 보안 전문가들에 따르면, 사이버 테러가 발생하기 2~3일 전부터 이와 비슷한 유형의 악성코드가 급증한 것으로 밝혀졌다. 공격 시점인 7일 저녁을 앞두고 광범위한 유포가 진행된 것으로 확인됐다.

이를 종합해보면 특정 타깃기관들을 상대로 특정일시에 사이버 교란을 유발시킨 '기획해킹'이란 분석도 가능하다.