작년10월 민주당 홈피마비는 ‘유령 디도스’ 공격탓

경찰, 역추적 할수없는 신종 확인… 90개국 IP 2000여개 수사나서
조기대선 앞두고 공격 급증 우려

　지난해 10월 26일 더불어민주당 홈페이지가 원인 모를 접속 폭주로 마비됐다. 최순실 씨(61·구속 기소)의 국정 농단 증거인 태블릿PC 관련 언론 보도 이틀 뒤였다. 경찰 수사 결과 접속 폭주의 원인은 신종 디도스(DDoS·분산서비스 거부) 공격인 것으로 확인됐다. 차기 대통령 선거가 앞당겨져 실시될 가능성이 높아지면서 선거 관련 사이버 보안에 비상이 걸렸다.

　당시 민주당 의뢰로 수사에 착수한 경찰은 디도스 공격에 활용된 인터넷주소(IP주소) 2000여 개를 확보해 추적 중이라고 1일 밝혔다. 경찰은 해당 IP주소가 있는 중국과 싱가포르 등 90여 개국 가운데 일부 국가에 공조를 요청했다.

　특히 이번 디도스 공격은 가해자의 정체가 드러나지 않아 추적이 거의 불가능한 새로운 수법이 사용된 것으로 확인됐다. ‘유령 디도스 공격’인 셈이다. 기존에는 해커가 매개체가 되는 PC에 악성코드를 몰래 심어 좀비PC로 만든 뒤 원격으로 조종해 특정 서버를 무력화시키는 수법이었다. 이 경우 좀비PC에 남은 흔적을 수사하면 가해자의 정체를 파악할 수 있다.

　하지만 이번 공격에서는 가해자가 자신의 IP주소를 피해 서버로 위장한 뒤 매개체에 데이터(패킷)를 보내는 방식이 쓰였다. 데이터를 받은 매개체는 위장된 IP주소에 속아 가해자에게 보내야 할 응답 데이터를 피해 서버로 보내 접속량을 늘렸다. 가해자가 매개체에만 데이터를 보내고 매개체가 가해자에게는 보내지 않았기 때문에 역추적이 불가능한 것이다. 매개체를 굳이 좀비로 만들 필요가 없다 보니 PC 외에 사물인터넷(IoT) 기기나 스마트폰 등 보안에 취약한 기기들이 동원됐을 가능성도 제기됐다. 또 매개체 1대가 좀비PC 여러 대의 효과를 낼 수 있어 기존 디도스 공격보다 강한 위력을 발휘한다.

　사건 초기에 북한 측의 공격 가능성이 제기됐으나 역추적이 사실상 어려워지면서 근거지 확인이 어려워진 상태다. 경찰은 조기 대선이 현실화할 가능성이 높아지면서 정당이나 선거관리위원회 등 선거 관련 사이트를 대상으로 같은 수법의 디도스 공격이 이뤄질 것을 우려하고 있다.

차길호　기자 kilo@donga.com