3·4 디도스 공격도 북한 소행

경찰청 “2009년 공격때와 동일한 기관”

지난달 4일 청와대 등 국가기관과 금융회사, 포털 사이트 등 국내 40개 주요 사이트에 감행된 ‘3·4 디도스(DDos·분산서비스 거부) 공격’이 북한의 소행이었던 것으로 확인됐다.

경찰청 사이버테러대응센터는 3·4 디도스 공격이 2009년 발생했던 ‘7·7 디도스 대란’과 동일한 기관 또는 집단이 저지른 범행이라고 6일 밝혔다. 2009년 7·7 디도스 대란 당시 공격 명령 근원지는 북한 조선체신성이 할당받은 중국의 한 인터넷주소(IP)였으며 경찰은 당시와 이번 공격이 북한의 소행인 것으로 판단했다.

경찰에 따르면 7·7 디도스 대란 당시 확보한 악성코드 1건과 동일하게 설계된 악성코드가 지난달 3·4 디도스 공격에서도 유포됐다. 경찰 관계자는 “현실세계에서 범인이 지문이나 족적을 남기듯 프로그램도 만드는 사람에 따라 설계된 구조가 조금씩 다르다”며 “동일한 구조의 프로그램이 나온 이상 두 사건은 같은 집단에서 저지른 범행으로 보인다”고 설명했다.

또 이번 디도스 공격 명령에 동원된 전 세계 70개국 746대의 해외 서버 중 3대의 IP는 2009년에도 사용된 주소로 나타났다. 경찰은 “동일범이 아니라면 전 세계 42억 개의 IP 중 비슷한 범행에 IP 3개가 겹치는 우연이 발생하기 힘들다”며 “여러 단계의 해외 서버를 거치는 공격 수법도 2009년 당시와 같다”고 밝혔다.

경찰 조사 결과 3·4 디도스 공격 감행자들은 지난해 8월부터 8개월 동안 공격 준비를 해 온 것으로 나타났다. 사전에 파일공유 사이트 등을 통해 악성코드를 유포하는 방식으로 10만여 대의 좀비PC를 만든 후 해외 746개 서버를 통해 지난달 3∼5일 3일 동안 공격을 감행했다.

박재명 기자 jmpark@donga.com