[알고도 당한 사이버 공격] 명령 컴퓨터 등 추적 어렵고

이전에는 해커가 악성코드를 만들어 개인용 컴퓨터(PC)에 심은 뒤 원격으로 조종했다. 해커가 사이트를 특정하고 공격 시간을 정해 명령을 내리면, 그 시간에 켜진 컴퓨터에 담긴 악성코드들이 공격 명령을 받은 사이트로 대량의 데이터를 보내 입구를 막아버린다. 따라서 악성코드를 세밀히 분석하면, 어떤 인터넷주소와 운영체제·랜카드를 가진 컴퓨터가 악성코드를 배포하고 명령을 내리는지를 알 수 있다.

그러나 이번 공격에 이용된 악성코드는 보내오는 명령을 받는 게 아니라 명령을 받아오는 방식이다. 악성코드들이 명령권을 가진 컴퓨터를 찾아 공격 명령서를 받는다. 새로운 명령서를 가진 파일과 우연을 가장해 만난 뒤 결합하는 방식으로 명령을 받는 것이다. 보안 전문가들은 이를 ‘변종이 생겼다’라고 표현한다. 따라서 악성코드에는 배포한 컴퓨터와 명령을 내리는 컴퓨터에 대한 정보가 없다. 악성코드를 분석하더라도 어느 컴퓨터에서 유포했고, 누가 명령을 내리는지 파악하기 힘든 것은 이 때문이다.

또 하드디스크의 데이터 저장 영역에 ‘Memory of the Independence Day’라는 문구를 덮어쓰는 방식으로 기존 데이터를 삭제한다. 컴퓨터 하드디스크는 덧씌우기를 하면 기존 데이터가 사라진다. 류찬호 한국정보보호진흥원 사이버침해사고대응지원센터 분석예방팀장은 “이전에는 디도스 공격용과 하드디스크 삭제용 악성코드가 따로 있었는데, 이번 것은 두 가지가 완벽하게 융합된 형태를 갖고 있다”고 말했다.

김재섭 기자