• `7.7 DDoS'(분산서비스거부) 공격을 유발한 악성코드는 국내 두 군데 웹하드 사이트에서 유포된 사실이 확인됐다.
    또 이번 DDoS 공격은 악성코드 배포는 국내에서, 공격 명령 등은 네 종류의 해외 서버에서 입체적으로 이뤄진 것으로 조사됐다.
    경찰청 사이버테러대응센터는 27일 "DDoS 공격자들은 서울과 부산 두 곳의 웹하드 사이트를 해킹해 이 사이트 이용에 필요한 프로그램의 업데이트 파일을 악성코드로 바꿔치기한 것으로 조사됐다"고 밝혔다.
    웹하드 이용자의 컴퓨터가 이 사이트에 접속했을 때 전용 프로그램의 업데이트를 하는 것으로 알고 악성코드를 내려받아 `좀비PC'가 됐다는 것이다.
    경찰은 지금까지 분석한 27대의 좀비PC 중 21대가 이들 웹하드 사이트를 통해 악성코드에 감염된 것으로 확인하고 또 다른 유포지가 있는지 조사하고 있다.
    이와 함께 DDoS 공격 때 좀비PC들을 관리하거나 공격 명령을 내린 네트워크형 중간 조정(C&C:Command&Control) 서버가 총 61개국 432대가 있는 것으로 파악됐다.
    이들 C&C 서버는 ①좀비PC 관리 ②좀비PC 내부 파일정보 수집 ③악성코드 공급 ④좀비PC 파괴 등 4가지 종류로, 좀비PC는 이들 서버와 순서대로 접속해 DDoS 공격자에게 PC 내부 정보를 제공하고 DDoS 공격과 자폭 등 명령을 수행했다.
    좀비PC 관리 서버는 독일과 미국, 태국 등 6개국에 있는 9대로, 좀비PC로부터 IP와 시스템 이름 등 시스템 정보를 전송받은 것으로 조사됐다.
    경찰은 독일 경찰로부터 넘겨받은 좀비PC 관리 서버를 분석한 결과 독일 서버에 시스템 정보를 전송한 좀비PC 5만5천596대 중 5만4천628대(98%)가 우리나라 PC인 것으로 확인했다.
    우리나라를 포함한 59개국 416대(우리나라 15대)인 파일정보 수집 서버는 좀비PC 내부에 저장된 파일 목록을 내려받았다.
    경찰은 특히 416대의 서버에 전송된 정보가 다시 캐나다, 베네수엘라, 이스라엘 등 3개국 서버에 재전송된 사실을 파악하고 정보의 최종 도착지를 추적하고 있다.
    악성코드 공급 서버는 미국 서부에 있는 농장 홈페이지 관리 서버로, DDoS 공격을 명령한 악성코드가 이곳에 그림파일로 위장해 숨어 있는 것이 발견됐다.
    또 좀비PC 파괴 서버는 좀비PC의 하드디스크를 삭제하는 기능의 악성코드를 좀비PC에 전달한 서버로 미국과 대만, 과테말라 등 6개국 6대가 확인됐다.(서울=연합뉴스)