8일 안철수연구소, NSHC 등 주요 보안업계에 따르면, 이번 공격에 사용된 악성코드 'msiexec2.exe'는 실행파일 내부에 공격 리스트를 담고 있었던 것으로 확인됐다.
이 악성코드 내부에 심어진 공격 대상 리스트는 청와대와 국방부, 외교통상부, 국회, 주한미군, 네이버블로그, 네이버메일, 농협, 신한은행, 외환은행, 옥션, 한나라당 등 12개 사이트이며, 이외에 미국 백악관과 국무부 등 14개 사이트 등이다.
더욱이 아직까지 구체적으로 확인되진 않았지만, 7일 특정일시에 맞춰 또다른 파일이 공격 대상 리스트를 읽어 해당 사이트를 공격하는 방식을 사용한 것으로 추정된다.
보안당국이 아직까지 공격 근원지를 못 찾는 이유다. 근원지를 찾기 위해선 중간에해커의 명령을 전달하는 컨트롤 서버(CC)를 찾아야하는데, 컨트롤 서버없이 악성코드 자체가 공격을 수행하기 때문이다.
이 악성코드의 샘플 분석 결과, 특정사이트를 공격할 때는 초당 100 패킷, 7 킬로바이트에 불과해 이를 위해선 적어도 수만대 이상의 좀비PC가 동원됐을 것으로 추정된다.
실제 방송통신위원회도 이날 브리핑을 통해 국내PC 1만8000대가 DDoS 공격에 악용된 것으로 파악하고 있다.
한편, 보안 전문가들에 따르면, 사이버 테러가 발생하기 2~3일 전부터 이와 비슷한 유형의 악성코드가 급증한 것으로 밝혀졌다. 공격 시점인 7일 저녁을 앞두고 광범위한 유포가 진행된 것으로 확인됐다.
이를 종합해보면 특정 타깃기관들을 상대로 특정일시에 사이버 교란을 유발시킨 '기획해킹'이란 분석도 가능하다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>