좀비PC 4대 확보 분석중… 역추적 성공할까
헤럴드경제 | 입력 2009.07.09 07:49 | 누가 봤을까? 50대 남성, 제주
정부기관 사이트에 대한 DDoS(분산서비스거부) 공격 사건을 수사 중인 경찰은 9일 이 사이트 접속에 이용된 `좀비PC` 3대를 추가로
찾아내 분석 중이다.
경찰 관계자는 "해커가 유포한 악성코드에 감염돼 DDoS 공격에 가담하게 된 좀비PC를 3대 더 찾아내 분석 작업을 벌이고 있다"고 말했다. 서울중앙지검 첨단범죄수사부 관계자는 "사이트 마비를 일으킨 악성코드에 감염된 개인용 컴퓨터는 8일 오후 2시 현재 2만3000여대로 집계됐고, 피해 사이트에 집중 접속한 인터넷 주소(IP)의 90% 이상은 국내발(發)로 나타났다"고 밝혔다.
이 관계자는 "사안의 중대성을 감안해 경찰을 지휘하고 자체적으로도 인터넷범죄센터에서 로그기록 추적을 병행하고 있다"며 "악성코드 유포자가 국내인으로 드러나면 법에 따라 엄정히 처벌할 방침"이라고 말했다.
좀비PC란 DDoS 공격에서 해커가 유포한 악성코드에 감염돼 해커가 의도한 트래픽공격에 사용자도 모르게 동원되는 일반 PC를 뜻한다.
경찰은 동작구 숭실대학교와 관악구 봉천동의 한 PC방에서 좀비PC를 한 대씩 가져왔고, 한국정보보호진흥원(KISA)으로부터 KISA가 자체적으로 입수한 좀비PC의 하드디스크 이미지를 전송받아 확보했다.
경찰은 앞서 8일 오전 동대문구 청량리의 한 가정집에 있던 PC가 좀비PC라는 사실을 확인, 이 PC를 임의제출 받아 분석 작업을 벌였다. 그러나 악성코드가 PC를 감염시킨 후 접속 흔적을 자동 삭제해 해킹 근원지 추적에는 어려움을 겪고 있다.
경찰은 추가로 확보한 좀비PC들의 과거 사이트 방문 이력 등을 교차 대비해 공통점을 찾아내고, 이를 토대로 해커가 숨겨놓은 악성코드에 이들 컴퓨터가 감염된 경로를 역추적키로 했다. 경찰은 4대의 좀비PC를 분석해 이 PC들이 공통으로 방문하거나 내려받은 파일을찾아내고, 이를 토대로 해커가 이 파일을 올려놓은 사이트를 추적할 방침이다.
경찰은 다시 이 사이트에 해커가 접근한 경로를 역추적해 해커의 최종 위치를 파악한다는 계획이어서 현 단계에서 경찰로선 되도록 많은 좀비PC를 확보하는 것이 수사의 관건이다. 그러나 경찰은 좀비PC를 확보하는데 필수적인 피해 사이트의 로그 기록을 입수하는 데 어려움을 겪는 것으로 전해졌다.
경찰은 또 피해 사이트에 직원을 급파해 로그 기록 등을 확보하고 있으나 해당 기관의 사이트에 DDoS 공격이 계속되고 있어 관계자들이 이를 막느라 급급해 관련 기록 입수에 어려움을 겪은 것으로 알려졌다. 또 워낙 데이터양이 많아 PC 하드디스크에 숨어 있는 악성코드를 찾아 분석하는일이 어렵고, 악성코드가 PC를 좀비 상태로 만든 후 자기의 접속 이력 등을 삭제하는 식이어서 추적도 쉽지 않다.
경찰은 전날 오후 국가정보원과 행정안전부 등 10여개 사이트에 또 다른 변종악성코드에 의한 2차 DDoS 공격이 진행됨에 따라 2차 피해 사이트에 대한 공격도 수사할 계획이다.
조용직 기자 yjc@heraldm.com
- `헤럴드 생생뉴스` Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -
찾아내 분석 중이다.
경찰 관계자는 "해커가 유포한 악성코드에 감염돼 DDoS 공격에 가담하게 된 좀비PC를 3대 더 찾아내 분석 작업을 벌이고 있다"고 말했다. 서울중앙지검 첨단범죄수사부 관계자는 "사이트 마비를 일으킨 악성코드에 감염된 개인용 컴퓨터는 8일 오후 2시 현재 2만3000여대로 집계됐고, 피해 사이트에 집중 접속한 인터넷 주소(IP)의 90% 이상은 국내발(發)로 나타났다"고 밝혔다.
이 관계자는 "사안의 중대성을 감안해 경찰을 지휘하고 자체적으로도 인터넷범죄센터에서 로그기록 추적을 병행하고 있다"며 "악성코드 유포자가 국내인으로 드러나면 법에 따라 엄정히 처벌할 방침"이라고 말했다.
좀비PC란 DDoS 공격에서 해커가 유포한 악성코드에 감염돼 해커가 의도한 트래픽공격에 사용자도 모르게 동원되는 일반 PC를 뜻한다.
경찰은 동작구 숭실대학교와 관악구 봉천동의 한 PC방에서 좀비PC를 한 대씩 가져왔고, 한국정보보호진흥원(KISA)으로부터 KISA가 자체적으로 입수한 좀비PC의 하드디스크 이미지를 전송받아 확보했다.
경찰은 앞서 8일 오전 동대문구 청량리의 한 가정집에 있던 PC가 좀비PC라는 사실을 확인, 이 PC를 임의제출 받아 분석 작업을 벌였다. 그러나 악성코드가 PC를 감염시킨 후 접속 흔적을 자동 삭제해 해킹 근원지 추적에는 어려움을 겪고 있다.
경찰은 추가로 확보한 좀비PC들의 과거 사이트 방문 이력 등을 교차 대비해 공통점을 찾아내고, 이를 토대로 해커가 숨겨놓은 악성코드에 이들 컴퓨터가 감염된 경로를 역추적키로 했다. 경찰은 4대의 좀비PC를 분석해 이 PC들이 공통으로 방문하거나 내려받은 파일을찾아내고, 이를 토대로 해커가 이 파일을 올려놓은 사이트를 추적할 방침이다.
경찰은 다시 이 사이트에 해커가 접근한 경로를 역추적해 해커의 최종 위치를 파악한다는 계획이어서 현 단계에서 경찰로선 되도록 많은 좀비PC를 확보하는 것이 수사의 관건이다. 그러나 경찰은 좀비PC를 확보하는데 필수적인 피해 사이트의 로그 기록을 입수하는 데 어려움을 겪는 것으로 전해졌다.
경찰은 또 피해 사이트에 직원을 급파해 로그 기록 등을 확보하고 있으나 해당 기관의 사이트에 DDoS 공격이 계속되고 있어 관계자들이 이를 막느라 급급해 관련 기록 입수에 어려움을 겪은 것으로 알려졌다. 또 워낙 데이터양이 많아 PC 하드디스크에 숨어 있는 악성코드를 찾아 분석하는일이 어렵고, 악성코드가 PC를 좀비 상태로 만든 후 자기의 접속 이력 등을 삭제하는 식이어서 추적도 쉽지 않다.
경찰은 전날 오후 국가정보원과 행정안전부 등 10여개 사이트에 또 다른 변종악성코드에 의한 2차 DDoS 공격이 진행됨에 따라 2차 피해 사이트에 대한 공격도 수사할 계획이다.
조용직 기자 yjc@heraldm.com
- `헤럴드 생생뉴스` Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -
ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지
'리쿠르팅 > 구인구직' 카테고리의 다른 글
| 내가 잘 가는 까페 혹은 블로그 (0) | 2009.07.28 |
|---|---|
| [스크랩] 장마전선 다시 북상...많은 비! (0) | 2009.07.16 |
| 북한이 과민반응 보인 ‘사이버스톰’이란? (0) | 2009.07.09 |
| 경상도 신부의 사투리 (0) | 2009.07.01 |
| 일본이 까부는 이유,,, (0) | 2009.07.01 |