[사이버 테러] 디도스 진원지, 진짜는 어디야?

최근 민관 주요 기관의 사이트를 마비시킨 분산서비스거부(DDoSㆍ디도스) 공격의 진원지를 둘러싸고 하루가 다르게 새로운 주장이 등장하고 있다. 방송통신위원회가 디도스를 일으킨 악성코드의 진원지가 '영국 소재의 인터넷주소(IP)'라고 발표했지만 해당 IP를 소유하고 있는 기업에서는 IP의 서버 위치가 '미국'이고 이 역시 해킹 당한 서버라고 주장하면서 진짜 진원지와 배후에 대한 궁금증이 갈수록 더해 가고 있다. ◇마스터서버 실제 위치는 '영국 아닌 미국' 15일 외신에 따르면 당초 공격의 진원지로 알려진 영국 소재 IP는 현지 IPTV 서비스업체의 것으로 알려졌다. 하지만 이 회사의 한 중역은 현지언론과의 인터뷰를 통해 "마스터 서버는 영국이 아닌 미국 플로리다주 마이애미에 있다"고 주장했다. IP주소는 영국으로 돼 있지만 실제 마스터 서버는 플로리다에 있고 영국에 있는 IPTV 업체는 단지 가상사설망(VPN)을 통해 데이터만 받았을 뿐이라는 설명이다. 그는 또 "13일 해당 서버에 대한 조사를 실시한 결과 '복수의 바이러스(virus)'를 발견했다"고 덧붙였다. 해커가 해킹을 통해 디도스 공격을 위한 마스터 서버로 만들었다는 의미다. 이 회사는 이를 영국의 범죄수사기구인 중대조직범죄청(SOCA)에 보고한 것으로 알려졌다. 이와 관련 정보보호진흥원의 한 관계자는 "실제 서버가 마이애미에 있다고 하는 얘기가 들리지만 우리가 확인할 수 있는 사항이 아니다"며 "앞으로는 국제공조를 통한 수사에 초점이 맞춰질 것"이라고 말했다. ◇설득력 약해지는 북한 배후설 공격을 지시했던 마스터서버의 위치가 영국에서 미국으로 바뀌고 이 서버 역시 해킹당한 것으로 드러났지만 해외의 보안 전문가들은 이번 공격에 북한 정부가 개입했을 가능성은 낮은 것으로 보고 있다. 이번 공격의 패턴을 분석해 볼 때 상당히 정교한 방법이 동원됐고 따라서 그만한 전문가들을 보유하고 있어야 하는 데 북한은 그럴 만한 능력이 없는 것 같다는 게 이들의 주장이다. 이번 공격을 분석한 베트남의 보안 전문가에 따르면 이 마스터서버가 8개의 공격제어(C&C) 서버와 통신을 했으며 전세계 79개국에 흩어진 16만6,908개 좀비PC들은 3분 간격으로 C&C에 무작위 접속, 한국과 미국을 집중 공격하는 방식을 택했다. 또 공격 순서도 자료목록 유출→ 디도스공격→ 업데이트를 통한 이전 흔적 제거→ PC 손상 등의 과정을 거친 것으로 볼 때 상당한 수준의 전문가가 동원됐어야 했다는 것이다. 미국 보안업체인 테트라가드의 제이슨 E 스트리트 컨설턴트는 "북한은 이러한 정교함을 갖고 있지 않다"고 밝혔다. 이번 사태의 피해자인 영국 IPTV업체의 보안담당자들도 북한 가능성에 무게를 두지 않고 있다. 하지만 국내 업계 일각에서는 "아직 해커의 배후가 밝혀지지 않은 상태에서 누군 아니다라고 속단하기는 이르다"며 신중한 입장을 보이고 있다.