국내 보안업체인 쉬프트웍스가 이번 분산서비스거부(DDoS) 공격에 이용된 악성코드를 역추적한 결과, 공격자의 해당 IP가 미국인 것으로 파악됐다고 밝혀 파장이 일고 있다.
9일 언더그라운드 해커로 구성된 국내 보안업체 쉬프트웍스(대표 홍준표)는 게시판을 통해 지난 8일 악성코드 샘플을 입수, 직접 해당 바이너리 파일을 분석해 역추적한 결과 해당 악성코드가 해외 미국 서버로 접근했다고 밝혔다.
만약 쉬프트웍스의 분석 결과가 사실이라면, 지금까지 명령 제어(C&C) 서버가 따로 있지 않은 신종 DDoS라고 발표했던 방송통신위원회·정보보호진흥원(KISA) 등의 발표를 전면 뒤집는 것이어서 적잖은 논란이 예상된다.
쉬프트웍스 이대로 연구원은 "악성코드 샘플을 역추적한 결과, 9일 새벽 1시~2시 사이 네트워크 통신을 하는 부분을 찾았다"며 "네트워크 탐지프로그램을 통해 해당 악성코드가 미국 주소지로 된 서버로 접근하는 것을 발견했다"고 말했다.
◆C&C 서버 존재 두고 '논란'
쉬프트웍스 측은 해당 서버를 분석한 결과 이미지 파일 형태로 위장한 1개의 파일이 존재했고, 그 파일 안에는 실행가능한 파일이 2개 정도로 합쳐져 있어 마치 1개의 이미지 파일로 된 형태였다고 전했다.
해당 파일들을 추출하니 쉬프트웍스 테스트PC에 있는 악성코드 파일과 유사한 형태였다는 게 회사 측 설명.
이대로 연구원은 "이 모든 과정은 패킷이 오가는 과정을 덤프(하나의 이미지로 보관)로 떠서 증거 자료로 보관하고 있다"며 "해당 IP는 미국에 위치한 서버며, 윈도 2000 서버로 확인됐다"고 말했다.
그는 이어 "이는 미국 서버에서 파일을 내려받아 실행 파일을 만들어 실행시킨다는 의미며, 미국발 해킹이라는 뜻은 아니다"고 강조했다.
그러나 정보보호진흥원 최중섭 팀장은 "C&C 서버가 미국에 있다는 주장은 신빙성이 없는 주장"이라며 "현재 분석하는 단계며, 아직 단언하기에는 이르다"며 이를 반박했다.
언더그라운드 해커들 사이에서도 의견이 엇갈리고 있다.
익명을 요구한 한 해커는 "미국에 서버가 위치한다는 의미는 고정IP며 DDoS 공격이 C&C 서버를 숙주로 삼아 이뤄졌다는 것인데 한 국가를 대상으로 한 사이버 공격을 고정IP로 했다는 사실은 이해할 수 없는 부분"이라고 말했다.
또 다른 해커는 "일반적으로 허술한 서버를 해킹해 실제 은닉자를 감추는 경우가 많다"며 "지금은 단정짓기 어려운 상황"이라며 말을 아꼈다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기