“도박사이트 공격한 보안업체 디도스 수법, 종전보다 수백배 강력”

인터넷 보안업체 대표 서모 씨(42)는 지난해 5월 경 중국의 해커로 추정되는 ‘샤오헤이’ 로부터 “경쟁도박업체 사이트에 ‘디도스(DDoS·분산 서비스 거부)’ 공격을 해달라”는 의뢰를 받았다. 서 씨는 샤오헤이가 마련한 국내 연락책으로부터 8억 4000여만 원의 돈을 받은 뒤 공공기관 등에서 보안 강의를 하던 B보안업체 대표 양모 씨(41)와 직원 이모 씨(53)에게 디도스 공격을 의뢰했다. 양 씨와 이 씨는 9월 서버임대업체 5곳으로부터 총 3억여 원을 주고 서버 110대를 빌린 뒤 서버 아이디와 비밀번호를 서 씨를 통해 ‘샤오헤이’에게 전달했다. 양 씨는 디도스 공격에 사용할 1만개 가량의 서버리스트도 전달했다. 여기엔 국민은행, 신한은행, 외환은행 등 금융업체들의 서버도 포함됐다.

‘샤오헤이’는 다수의 서버를 이용해 공격 대상 사이트에 대량의 데이터가 몰리게 하는 일반적인 디도스 공격 방식이 아닌 ‘질의응답 IP 조작’이라는 독특한 방법을 사용했다. 이 방법은 서버에 신호(질의)를 보낼 때 회송(응답)되는 IP(주소)를 공격 대상 사이트로 변조해 과부하가 걸리게 하는 방법이다. ‘샤오헤이’는 양 씨에게서 전달 받은 110개 서버에 디도스 공격용 악성프로그램 3개설치 → 1만개 서버에 대량의 질의를 보냄 →응답할 서버 주소를 공격 대상 서버로 조작해 공격하는 방법으로 2회에 걸쳐 디도스 공격을 감행했다.

디도스 공격으로 경쟁 도박 업체를 포함해 비슷한 IP 범위 안에 있는 서버 45개가 마비됐다. 대량 질의 공격을 받은 금융기관은 방화벽 등 보안 시스템이 잘 갖춰져 있어 피해를 입지 않았다. 검찰 조사 결과 이들은 보안 업체가 자금 난에 허덕이자 공격 받은 업체들이 보안 업체를 찾아올 것을 기대하고 범행에 가담한 것으로 알려졌다.

서울중앙지검 첨단범죄수사1부(부장 이정수)는 26일 정보통신망침해 혐의로 서 씨를 구속 기소했다. 앞서 검찰은 범행에 가담한 양 씨와 이 씨를 같은 혐의로 24일 구속 기소했다. 검찰관계자는 “악성코드에 감염된 일명 ‘좀비 PC’를 사용하지 않고도 정상 서버를 조작해 ‘좀비 PC’처럼 사용한 이번 사례의 파괴력은 종전 디도스 공격 보다 수백 배는 강력하다”고 밝혔다.

변종국 기자 bjk@donga.com