오늘도 수십건 공격 당해… 좀비PC 찾아 출동중

  • Array
  • 입력 2010년 7월 7일 03시 00분


코멘트

■ 경찰청 사이버테러대응센터 가보니

좀비PC 주인에 연락했다 가짜경찰 신고당한 적도
범인 쫓아 격투도 다반사

경찰청 사이버테러대응센터 수사관들이 압수해온 개인 컴퓨터의 하드디스크를 복제해 분석하고 있다. ‘쓰기 방지장치 겸 하드디스크 이미지 복제기’(왼쪽)로 복제한 뒤 각자의 컴퓨터에 복제한 하드디스크를 연결해 디도스 공격의 출처와 방법을 조사한다. 원대연 기자
경찰청 사이버테러대응센터 수사관들이 압수해온 개인 컴퓨터의 하드디스크를 복제해 분석하고 있다. ‘쓰기 방지장치 겸 하드디스크 이미지 복제기’(왼쪽)로 복제한 뒤 각자의 컴퓨터에 복제한 하드디스크를 연결해 디도스 공격의 출처와 방법을 조사한다. 원대연 기자
“‘VM웨어’라고 하는 프로그램을 실행한 것인데, 컴퓨터 안에 또 다른 가상의 컴퓨터를 켜는 겁니다. 여기에 우리가 가져온 디도스(DDos·분산서비스거부) 공격 악성코드를 감염시켜 ‘좀비PC’를 만들 겁니다.” 경찰청 사이버테러대응센터 관계자가 컴퓨터 바탕화면에 뜬, 바탕화면과 똑같은 화면을 담은 창에 대해 이렇게 설명했다.

좀비PC는 악성코드에 감염돼 특정 웹사이트에 디도스 공격을 하도록 만들어진 개인 컴퓨터. 양모 수사관(29)은 이어 창을 내리고 원래 컴퓨터 바탕화면에서 또 다른 프로그램을 구동시켰다. 그러자 알파벳과 숫자가 줄지어 올라왔다. “앞서 감염시킨 가상의 컴퓨터가 통신하고 있는 다른 좀비PC들입니다. 이렇게 다른 좀비PC들을 찾아내는 거죠.”

‘7·7 디도스 대란’ 발생 1년을 맞아 6일 서울 서대문구 미근동 경찰청 별관의 사이버테러대응센터를 찾았다. 유리벽, 유리책상과 커다란 액정표시장치(LCD)TV, 자리마다 두 개씩 놓인 평면모니터 사이로 마우스 클릭 소리만 간간이 들렸다. 3개 수사팀 중 정석화 팀장이 지휘하는 수사3팀 8명이 지난해 디도스 사건 주무를 맡았다.

○ 좀비PC 복제·분석해 공격 발원지 찾아

“이건 ‘쓰기 방지장치 겸 하드디스크 이미지 복제기’라고 합니다.”

가상 감염으로 좀비PC를 적시하는 동안 분석 전문인 이모 수사관(35)은 증거물로 수집해온 좀비PC의 하드디스크를 조사하고 있었다. 수사관들은 악성코드에 감염된 개인컴퓨터 하드디스크를 검사하기에 앞서 감염된 현 상태를 손상하지 않기 위해 하드디스크의 본을 뜬다. 두꺼운 서류가방 같은 검은 백을 열자 마치 첩보영화에 나오는 것처럼 컴퓨터 모니터와 자판이 나왔다. 이 수사관은 자신의 하드디스크와 압수해온 하드디스크를 각각의 잭에 연결해 복제 작업을 시작했다. 이 작업은 20GB당 약 10분이 걸린다. 이 수사관은 “일반 개인컴퓨터 하드디스크의 경우 1시간이면 정밀한 복제가 끝난다”고 말했다.

이후 복제된 하드디스크 분석 작업에 들어간다. 수사3팀 김모 반장(46)은 “디도스 공격 좀비PC를 분석할 때 가장 중요한 점은 이 공격이 어디서 어떻게 왔느냐를 찾아내는 것”이라며 수많은 인터넷주소(IP)와 백과사전 두께의 통신수사 내용을 들고 씨름하는 수사관들을 가리켰다. “보통 좀비PC 10∼100대를 압수해 분석하는데, 그들이 서로 통신한 내용, 공통적으로 받은 ‘지령’을 조사하면 서버의 위치를 찾을 수 있다”고 설명했다.

이런 방법으로 수사3팀은 올해 6월 발생한 정부사이트 공격이 중국 누리꾼으로부터 나온 것임을 밝혀냈다. 비교적 빠른 해결이었다.

○ 온·오프라인 수사 병행

정석화 팀장은 “컴퓨터에서만 일하는 게 아니라 우리도 다른 형사들과 마찬가지로 출동 하고 압수수색도 한다”고 말했다. 좀비PC 분석에 앞서 공격을 받은 웹사이트의 서버를 조사하고 좀비PC의 주인을 찾아가 하드디스크를 떼어오는 작업을 선행하기 때문이다.

분석 대상을 확보하는 일은 더 만만치 않다. 공격을 받은 웹사이트에서 좀비PC들의 주소를 찾아 연락을 하면 ‘보이스피싱’ 취급을 당하기 일쑤다. 겨우 설득해 집에 찾아갔다가 가짜 경찰로 오해받아 112 신고를 당한 적도 있다. 김 반장은 “지난해 여름 디도스 공격 때는 좀비PC가 된 한 초등학생의 개인컴퓨터 하드디스크를 복제하기 위해 부모 앞에서 컴퓨터 수리와 바이러스 치료를 무료로 해줬다”며 웃었다.

범인의 행방이 잡히면 직접 검거에도 나선다. 김 반장은 “PC방도 뒤지고 범인을 추격하기도 한다”며 “가끔 격투를 벌여 옷이 찢어지고 상처도 입는다”고 귀띔했다. 체포한 범인은 사무실 옆에 위치한 진술영상녹화실에서 직접 신문한다. “컴퓨터 앞에서 자판만 칠 것이라고 생각하는데 우리도 여느 경찰과 똑같다”고 말했다.

이미지 기자 image@donga.com
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스