DDoS용 악성코드, "해외 분산된 서버서 유포"

美 소재 서버서 악성코드 실행파일 다운..유럽 등지 3곳도 발견돼

국내 초유의 분산서비스거부(DDoS) 공격을 일으킨 악성코드와 연결된 숙주 서버는 미국 뉴저지를 비롯해 유럽 등 해외 각국에 퍼져 있었던 것으로 확인된다.

보안업체인 쉬프트웍스는 9일 올린 공지를 통해 "DDoS 공격을 유발한 악성코드 샘플을 분석해 역추적한 결과, 해당 악성코드가 미국 소재의 서버로 접근하는 것을 포착했다"고 밝혔다.

이 회사에 따르면, 해당파일 중 특정서버와 네트워크 통신을 하는 부분을 찾아냈고, 이를 집중감시하던 중 해당 악성코드가 미국 소재의 윈도2000 서버로 접근했다는 것.

쉬프트웍스측은 "미국 소재의 윈도2000 서버에서 특정 파일이 다운로드되며, PC내에서 악성코드 실행파일이 만들어지는 구조"라고 설명했다.

다만, 회사측은 "이는 단순히 해당 악성코드를 분석한 것이지, 실제 DDoS 공격자가 누구인지는 알 수 없다"고 말했다.

이에앞서 전날 발견됐던 DDoS 공격용 악성코드는 유럽에 주소(IP)를 둔 각기 다른 3곳의 서버에서 실행파일을 불러오는 현상도 포착됐다.

안철수연구소 관계자는 "일정한 시차를 두고 유럽 각지에 흩어진 서버에 잠깐 접속해 파일 다운로드를 시도했다"며 "이를 즉시 정부기관에 알렸고, 해당 IP들은 차단된 상태"라고 전했다.


결국, 현재 국내 사이버공격을 위해 미국과 유럽 등 해외 각지의 분산된 숙주서버를 놓고 악성코드를 유포해왔던 셈이다. 하지만 이들 서버가 공격자 서버인지, 단순히 유포지로 악용된 경유지 서버인지 확인은 안되고 있다.