기사 본문 영역

상세페이지

‘선관위 디도스 공격’ 어떻게 진행됐나?
입력 2011.12.04 (22:01) 연합뉴스
선거 당일 중앙선거관리위원회와 박원순 서울시장 후보의 홈페이지에 대한 분산서비스거부(DDoS:디도스) 공격이라는 초유의 사태가 어떻게 벌어졌는지를 두고 관심이 커지고 있다.

범행은 10월25일 밤과 10월26일 새벽 사이에 벌어졌지만 최구식 의원실 수행비서 공모(27)씨와 프로급 해커인 강모(25)씨의 관계는 약 1년 전으로 거슬러 올라간다.

◇의원 비서와 불법 인터넷 사업자의 만남 = 4일 경찰에 따르면 공씨와 인터넷 도박 등 각종 불법 인터넷 사업을 해온 강모씨는 6개월에서 1년 전쯤 관계를 맺었다.

어떤 자리에서 어떻게 만났는지 파악이 되지는 않지만 같은 진주 출신으로서 때때로 안부 전화를 할 만큼 가까운 사이로 발전했다고 경찰은 전했다.

휴대전화 번호부에 공씨를 '공OO형님'으로 저장해 놓은 강씨는 그가 최구식 의원실에서 일한다는 사실을 알고 있었다.

강씨는 원래 PC방 사업을 하면서 이번에 함께 경찰에 체포된 공범 2명을 만났다. 이후 대구에 K커뮤니케이션즈라는 사업체를 차렸다.

강씨가 운영하던 대구 소재 IT업체는 홈페이지 제작 등을 목적 사업목적을 두고 있었지만 지난 3월에 법인을 만든 이후 매출이 전혀 발생하지 않았다. 그럼에도 직원 7명에게 급여를 꼬박꼬박 지급했다.

◇프로 해커로 발전한 강씨 = 강씨가 운영하던 IT업체는 신분증을 위조해 대포폰이나 대포통장 등을 만들어 불법 수익을 냈지만 실질적인 수입원은 인터넷 도박사이트로 추정된다고 경찰은 추정했다.

범행이 시작된 10월25일에 강씨가 필리핀에 있었던 것도 카지노 프로그램 라이선스를 구입하기 위해서였다.

강씨는 이 과정에서 디도스 공격에 전문가적인 지식과 장비를 보유한 것으로 보인다. 경찰은 도박 사이트들이 경쟁 사이트의 영업을 방해하려고 디도스 공격을 하는 사례가 많고, 방어를 위해 더 강렬한 공격을 하는 성향이 있다고 전했다.

이들은 공격 위치를 감추고자 무선 인터넷만 사용했다는 점, 관련 장비, 좀비 PC를 사전에 확보하고 있었던 점, 강씨가 주변인들에게 마음만 먹으면 어느 사이트든 다운시킬 수 있다고 말한 것도 이런 점에서 비롯된 것으로 보인다.

최근에는 디도스 소프트웨어가 일반화돼 좀비 PC만 확보하면 일반인도 디도스 공격을 할 수 있다고 경찰은 설명했다.

좀비 PC는 직접 제조하거나 암시장에서 구입할 수도 있는데 강씨의 경우 구입했을 가능성이 큰 것으로 경찰은 보고 있다.

전문가들은 좀비PC 및 여타 통신 장비 구입에만 수백만~수억원의 자금이 소요됐을 것으로 보고 있다.

강씨는 8월13일부터 10월22일까지 악성코드가 담긴 음란 동영상 파일을 웹하드 사이트에 업로드시켜 내려받은 사람들의 PC 200여대를 좀비 PC로 만들기도 했다.

강씨는 사업 확장 차원에서 대구에서 이주를 결심, 지난 10월께 서울 강남에 빌라를 얻어 직원 3~4명과 함께 지냈다.

◇첫 통화에서 공격 성공까지= 공씨는 25일 저녁 9시께 강씨에게 부재중 통화를 남겼고 강씨가 11시께 콜백했다.

이후 26일 새벽까지 30여통의 통화가 오가는 상황에서 범행 내용을 상의했을 것으로 보인다.

경찰은 강씨가 악성코드를 유포한 8월부터 범행 시기인 10월25일까지 일상적인 통화만 있었으며 공씨가 강씨의 범행을 교사한 흔적은 없다고 설명했다.

강씨는 공비서의 요청을 받고 국내에 있는 직원들을 동원해 선거 당일 새벽 1시께 실제로 선관위 홈페이지를 공격해 잠시 마비시킬 수 있다는 점을 보여줬다.

같은 기법으로 200여 대의 좀비 PC를 동원해 초당 263MB 용량의 대량 트래픽을 유발하는 디도스(DDoS) 공격을 26일 새벽 5시50분부터 가해 오전 6시15분~8시32분에 선관위 홈페이지의 외부 접속을 차단했다.

박 시장의 홈페이지는 오전 1시47분~1시59분에 1차 공격을, 5시50분~6시52분에 2차 공격을 받아 접속이 원활하지 않았다.

선관위와 박 시장 측은 KT와 한국인터넷진흥원(KISA)의 사이버대피소로 이동한 이후 정상가동되기 시작했지만 디도스 공격 강도는 되레 세져 한때 1천500여대의 좀비 PC가 초당 2기가의 트래픽을 유발했다.

경찰은 일반인들이 일과가 시작되면서 전원이 켜지는 PC가 많아졌고 이에 따라 디도스 공격에 참여한 PC도 늘었다고 설명했다.
  • ‘선관위 디도스 공격’ 어떻게 진행됐나?
    • 입력 2011-12-04 22:01:10
    연합뉴스
선거 당일 중앙선거관리위원회와 박원순 서울시장 후보의 홈페이지에 대한 분산서비스거부(DDoS:디도스) 공격이라는 초유의 사태가 어떻게 벌어졌는지를 두고 관심이 커지고 있다.

범행은 10월25일 밤과 10월26일 새벽 사이에 벌어졌지만 최구식 의원실 수행비서 공모(27)씨와 프로급 해커인 강모(25)씨의 관계는 약 1년 전으로 거슬러 올라간다.

◇의원 비서와 불법 인터넷 사업자의 만남 = 4일 경찰에 따르면 공씨와 인터넷 도박 등 각종 불법 인터넷 사업을 해온 강모씨는 6개월에서 1년 전쯤 관계를 맺었다.

어떤 자리에서 어떻게 만났는지 파악이 되지는 않지만 같은 진주 출신으로서 때때로 안부 전화를 할 만큼 가까운 사이로 발전했다고 경찰은 전했다.

휴대전화 번호부에 공씨를 '공OO형님'으로 저장해 놓은 강씨는 그가 최구식 의원실에서 일한다는 사실을 알고 있었다.

강씨는 원래 PC방 사업을 하면서 이번에 함께 경찰에 체포된 공범 2명을 만났다. 이후 대구에 K커뮤니케이션즈라는 사업체를 차렸다.

강씨가 운영하던 대구 소재 IT업체는 홈페이지 제작 등을 목적 사업목적을 두고 있었지만 지난 3월에 법인을 만든 이후 매출이 전혀 발생하지 않았다. 그럼에도 직원 7명에게 급여를 꼬박꼬박 지급했다.

◇프로 해커로 발전한 강씨 = 강씨가 운영하던 IT업체는 신분증을 위조해 대포폰이나 대포통장 등을 만들어 불법 수익을 냈지만 실질적인 수입원은 인터넷 도박사이트로 추정된다고 경찰은 추정했다.

범행이 시작된 10월25일에 강씨가 필리핀에 있었던 것도 카지노 프로그램 라이선스를 구입하기 위해서였다.

강씨는 이 과정에서 디도스 공격에 전문가적인 지식과 장비를 보유한 것으로 보인다. 경찰은 도박 사이트들이 경쟁 사이트의 영업을 방해하려고 디도스 공격을 하는 사례가 많고, 방어를 위해 더 강렬한 공격을 하는 성향이 있다고 전했다.

이들은 공격 위치를 감추고자 무선 인터넷만 사용했다는 점, 관련 장비, 좀비 PC를 사전에 확보하고 있었던 점, 강씨가 주변인들에게 마음만 먹으면 어느 사이트든 다운시킬 수 있다고 말한 것도 이런 점에서 비롯된 것으로 보인다.

최근에는 디도스 소프트웨어가 일반화돼 좀비 PC만 확보하면 일반인도 디도스 공격을 할 수 있다고 경찰은 설명했다.

좀비 PC는 직접 제조하거나 암시장에서 구입할 수도 있는데 강씨의 경우 구입했을 가능성이 큰 것으로 경찰은 보고 있다.

전문가들은 좀비PC 및 여타 통신 장비 구입에만 수백만~수억원의 자금이 소요됐을 것으로 보고 있다.

강씨는 8월13일부터 10월22일까지 악성코드가 담긴 음란 동영상 파일을 웹하드 사이트에 업로드시켜 내려받은 사람들의 PC 200여대를 좀비 PC로 만들기도 했다.

강씨는 사업 확장 차원에서 대구에서 이주를 결심, 지난 10월께 서울 강남에 빌라를 얻어 직원 3~4명과 함께 지냈다.

◇첫 통화에서 공격 성공까지= 공씨는 25일 저녁 9시께 강씨에게 부재중 통화를 남겼고 강씨가 11시께 콜백했다.

이후 26일 새벽까지 30여통의 통화가 오가는 상황에서 범행 내용을 상의했을 것으로 보인다.

경찰은 강씨가 악성코드를 유포한 8월부터 범행 시기인 10월25일까지 일상적인 통화만 있었으며 공씨가 강씨의 범행을 교사한 흔적은 없다고 설명했다.

강씨는 공비서의 요청을 받고 국내에 있는 직원들을 동원해 선거 당일 새벽 1시께 실제로 선관위 홈페이지를 공격해 잠시 마비시킬 수 있다는 점을 보여줬다.

같은 기법으로 200여 대의 좀비 PC를 동원해 초당 263MB 용량의 대량 트래픽을 유발하는 디도스(DDoS) 공격을 26일 새벽 5시50분부터 가해 오전 6시15분~8시32분에 선관위 홈페이지의 외부 접속을 차단했다.

박 시장의 홈페이지는 오전 1시47분~1시59분에 1차 공격을, 5시50분~6시52분에 2차 공격을 받아 접속이 원활하지 않았다.

선관위와 박 시장 측은 KT와 한국인터넷진흥원(KISA)의 사이버대피소로 이동한 이후 정상가동되기 시작했지만 디도스 공격 강도는 되레 세져 한때 1천500여대의 좀비 PC가 초당 2기가의 트래픽을 유발했다.

경찰은 일반인들이 일과가 시작되면서 전원이 켜지는 PC가 많아졌고 이에 따라 디도스 공격에 참여한 PC도 늘었다고 설명했다.
kbs가 손수 골랐습니다. 네이버에서도 보세요.
기자 정보