3. 4 DDos 사건의 공격자는 7. 7 DDos와 동일범

- 해외 70개국 746대 서버 동원, 디도스 공격 주도 -

□ 경찰청(사이버테러대응센터)은

○ 지난 3. 3부터 3. 5까지 국내 주요 40개 사이트를 대상으로 발생한 DDos 공격에 대한 수사결과, ’09. 7. 7 발생한 DDos 공격과 동일범임을 확인했다고 밝혔다.

□ 경찰청은

○ 행안부․방통위(한국인터넷진흥원) 등 유관기관과 협조, 악성코드 유포사이트․국내 감염 좀비PC․해외 공격명령서버를 확보하여 정밀 분석한 결과,

○ 불상의 해커가 파일공유사이트의 업데이트 파일을 바꿔치기 하는 수법으로 악성코드를 유포하여 10만여대의 PC를 감염시킨 뒤, 해외 70개국 746개 공격명령서버(C&C : Command & Control)에서 실시간으로 좀비PC를 제어하면서 공격명령을 하달하는 등 공격 실체를 규명하였다.

○ 특히 ’10년 8월이후 7개월간 국내 파일공유사이트 및 해외공격명령서버를 해킹한 중국 소재 공격근원지 IP들을 확인하고 이중 일부는 디도스 공격기간 중 좀비PC로 위장하여 진행상황을 점검한 사실도 밝혀냈다.

□ 7. 7 DDos 공격자와 동일범임을 판단하는 근거로

○ 파일공유사이트를 통해 악성코드를 유포하고 여러단계의 해외 공격명령서버(C&C : Command & Control)를 이용하여 공격을 시도하는 등 디도스 공격체계 및 방식이 동일하다는 점, 악성코드의 설계방식 및 통신방식이 정확하게 일치하는 등 동일 프로그래머에 작성된 것으로 입증된 점

○ 특히 3. 4 DDos 공격과 7. 7 DDos 공격시 활용된 해외 공격명령서버 일부가 동일한 점 등을 결정적 증거로 제시하였다.

※ 전세계 IP 주소는 42억개 이상으로 공개되지 않은 7. 7 DDos의 C&C 서버와 동일한 IP를 사용했다는 것은 동일범이 아니면 불가능

□ 경찰청은

○ 향후에도 공격근원지 확인 및 해외 공격명령서버 추가 확보를 위해 국제공조수사를 요청하는 등 계속 수사할 계획이라고 밝혔다.

※ 7. 7 DDos 사건 : ’09. 7. 7 ∼ 9일까지 61개국 총 435대 서버를 활용, 한․미 주요기관 등 총35개 사이트를 DDos 공격, 경찰 수사결과 공격근원지가 중국에 소재한 북한 체신성으로 확인

【첨부】공격 체계도

【첨부】7. 7 디도스 공격과 비교