“중국 발 공격 단정 이르다”

지난 2일 롯데면세점 인터넷 홈페이지가 디도스(분산서비스거부ㆍDDOS) 공격을 받아 일시적으로 접속이 불가능해진 사건에 대해 경찰이 관련 서버 데이터를 추출해 본격적인 수사에 들어갔다. 그러나 디도스 공격의 복잡한 구조 상 실제 그 공격의 진원지가 중국인지 여부를 가리고 배후를 밝히는 수사는 상당한 시간이 소요될 것으로 보인다.

정석화 경찰청 사이버테러수사1실장은 3일 헤럴드경제와의 통화에서 “간밤에 롯데 측으로부터 관련 서버 데이터를 추출해 왔고 오늘부터 본격적으로 분석에 들어갔다”고 밝혔다. 지난 2일 정오께 롯데 인터넷면세점 4개 국어 홈페이지에 디도스 공격으로 추산되는 대량 트래픽이 발생해 전 사이트가 약 3시간 가량 접속 불가 상태에 빠졌다. “오후 3시간 뒤 일부 IP를 제외한 서비스가 재개됐지만 이 과정에서 수억원 대의 피해가 발생했다”고 롯데면세점 측은 밝혔다.

정 실장은 롯데 측이 “중국 측 IP 주소로 디도스 공격이 들어왔다”고 밝힌 데 대해서는 “중국 뿐 아니라 여러 국가의 IP 주소로부터 공격이 이뤄졌다”며 “통상 디도스 공격의 경우 악성코드가 전세계에 흩어진 PC를 감염시켜 공격이 이뤄지므로 중국 IP 주소가 일부 발견됐다고 해서 공격의 시발점이 중국이라고 판단하기는 이르다”고 설명했다.

통상 디도스 공격은 공격자가 이메일 첨부파일이나 인터넷 공유기 해킹 등 여러 경로를 통해 악성코드로 수만개 이상의 PC를 감염시켜 좀비PC로 만든 뒤 악성코드제어(CNC)서버에 접속해 특정시각, 특정 사이트를 접속하라는 명령을 내리면서 이뤄진다. 정 실장은 “디도스 공격의 배후를 밝히려면 우선 좀비PC를 확보해 감염된 악성 코드를 분석, CNC서버의 위치를 확인한 뒤 이를 다시 확보해 서버에 접속한 공격자의 위치를 확인해야 한다”고 설명했다. 디도스 공격의 구조가 여러 겹의 양파와 같아 겉으로 드러난 공격 형태만 보아서는 실체를 확인하기 어렵다는 얘기다.

게다가 통상 디도스 공격을 자행하는 해커들은 CNC 서버에 접속하거나 좀비PC에 명령을 내릴 떄 프록시 서버나 가상사설망(VPN) 서비스를 이용해 IP를 세탁하므로 실제 해커의 존재를 파악하는데는 2중, 3중의 노력이 든다.

문제는 설령 디도스 공격 명령을 내린 해커가 중국에 존재하는 것이 확인되더라도 이 해커가 민간인인지 중국 정부인지는 확인하기 어렵다는 점이다. 통상 사이버테러를 일으킨 해커가 해외에 있을 경우 해당 국가의 경찰에 공조수사를 요청하는데 만약 실제로 중국 정부가 디도스 공격을 주도했다면 범죄를 저지른 피의자에게 수사를 전적으로 의존할 수 밖에 없는 셈이다.

원호연 기자/why37@heraldcorp.com