경찰청 사이버테러대응센터는 좀비PC 분석결과, 해킹을 통해 국내 웹하드 사이트 이용프로그램이 악성코드로 바꿔치기 되어 이용프로그램 설치 후 자동 업데이트를 통해 PC가 감염되었다는 사실을 발견하였으며 또한 이와 같은 방법으로 감염된 좀비PC들은 크게 4개로 구분된 서버그룹, 최소 61개국 435대의 서버와 통신하면서 DDoS 공격을 수행하는 등 네트워크형 C&C 서버그룹을 통해 제어되는 구조를 밝혀내어, 기존의 DDoS 공격보다 진일보한 글로벌화된 사이버테러임을 확인하였다.

DDoS 공격자들은 웹하드 사이트를 해킹하여 일반 네티즌들이 웹하드 사이트 이용을 위해 다운받아 설치하는 프로그램의 업데이트용 프로그램을 악성코드로 바꿔치기 하였고, 네티즌들이 웹하드 사이트 이용프로그램을 자동으로 업데이트할 경우 악성코드에 감염되는 것으로 확인되었다.

경찰이 현재까지 발견한 웹하드 사이트는 2군데로 모두 소규모이나, 그동안 무작위로 확보하여 분석한 좀비PC 27대 중 21대가 이들 웹하드 사이트를 통해 감염된 것으로 확인되는 등 이들 웹하드 사이트가 좀비PC 감염경로의 상당부분을 차지할 것으로 추정하고 있다.

기존 DDoS공격과는 달리 이번 DDoS공격은 4개의 서버그룹이 순차적으로 각각의 기능을 수행하면서 변형된 C&C 서버의 역할을 하고 있는데

좀비PC 관리서버 : 독일 등 6개국 9대(독일 3, 미국 2, 캐나다, 오스트리아, 태국, 중국)에서 확인된 서버그룹으로 감염된 각각의 좀비PC로부터 IP, 시스템 이름 등 시스템 정보를 전송받는 등 좀비PC를 관리하고 있으며, 독일경찰로부터 확보한 자료 분석결과 악성코드에 감염되어 시스템정보를 전송한 좀비PC가 전세계 55,596대로, 그 중 54,628대(98%)가 우리나라 PC이며 미국, 중국 등 전세계 49개국 968대의 외국PC도 감염된 것으로 확인되었다.

파일정보 수집서버 : 국내 시스템 15대를 비롯하여 총 59개국 416대의 서버그룹으로 국내외 17대(국내 15, 싱가포르.일본 등 2)를 분석한 결과 악성코드에 감염될 경우 PC에 저장된 파일목록 일부가 유출되는 것을 확인하였으며, 파일내용까지 유출되었는지 여부는 확인되지 않고 있으나 인터폴을 통해 기타 58개국 401대에 대해서 해당국 경찰에 유출된 정보의 삭제 등 조치를 요청하였다.

특히 총 59개국 416대의 서버에 저장된 데이터가 캐나다, 베네수엘라, 이스라엘 등 3개국 3대의 서버에 재전송되고 있는 사실도 파악, 3개국으로부터 관련 자료를 확보하여 정보의 최종 귀착지 및 활용목적 등을 규명해 나갈 방침이다.

악성코드 공급서버 : 실제 DDoS 공격을 수행하는 악성코드를 좀비PC에게 공급하는 서버로 좀비PC의 분석을 통해 미국 서부 소재 농장 홈페이지에 악성코드가 그림파일로 위장, 은닉되어 있음을 알아내어 미국 FBI 사이버수사조직 내 DDoS 사건 태스크포스팀(T/F)등에 통보하였고 이에 따라 현재 미국에서 수사가 진행되어 조만간 관련 자료를 우리 측에 제공할 예정이다.

좀비PC 파괴서버 : 하드디스크를 삭제하는 기능의 악성코드를 좀비PC에게 전달하는 기능을 수행하는 서버로, 총 86대 중 6대 서버만이 실제 하드디스크를 삭제하는 기능의 악성코드를 은닉하고 있음을 확인하고, 이중 대만 경찰청, 과테말라로부터 서버자료를 확보하여 접속기록 등을 분석하고 있으며, 나머지 미국, 파키스탄, 멕시코, 터키와 공조수사가 진행 중에 있어 조만간 자료를 제공받을 수 있을 전망이다.

특히 7. 10. 이미 6대 서버의 존재를 확인하고 6개국과 공조수사를 진행하던 중 베트남 모 보안업체가 베트남 자국 내의 서버를 분석하였다며 발표한 서버는 이미 수사 중인 미국 및 멕시코 소재 서버로 확인되었다.

경찰은 사건발생 즉시 피해사이트를 확인하고, 확보한 좀비PC 분석을 위해 연구원 및 지방청 전문분석 경찰관 등 가용인원을 모두 활용하는 등54명으로 수사전담팀을 구성하여 관련서버를 찾는데 주력하였다.

이에 따라 확인된 서버 중 국내 소재 서버는 현지 방문 및 압수수색 등을 통해 확보하였고, 해외 소재 서버는 인터폴, 해당국 경찰청 및 해외경찰 주재관 등 가능한 모든 방법을 총동원하여 확보하였다.

이들의 접속 기록, 해킹 흔적 등에 대한 면밀한 분석을 통해 현재까지 확인된 서버들은 모두 원격접속을 통해 해킹당한 것을 확인하였으며, 접속IP 경로확인 등 공격근원지 역추적 수사를 진행 중이다.