[사이버수사대]③도박사이트들, DDoS로 치고받고

일반입력 :2013/03/18 08:23

손경호 기자

경찰청 사이버테러대응센터가 창설된 지 13년이 지났다. 2003년 전국 대부분의 인터넷망을 불통으로 만들었던 1.25 인터넷 대란에서부터 2009년 수십만대의 좀비PC가 동원돼 청와대 등 주요 정부사이트를 마비시킨 7.7 분산서비스거부(DDoS) 사태까지 사이버테러대응센터는 현장에서 해킹범을 검거하기 위한 사이버범죄수사에 분투해왔다. 사이버범죄수사 13년을 맞아 인터넷 공간을 떠들썩하게 했던 '그 때 그 사건'을 돌아보고 현재 시점에서 주는 의미를 반면교사 해본다. [편집자주]

#돈을 많이 들여 꽤 경력이 있는 해커를 뽑았다. 93개나 되는 경마사이트를 공격하려면 실력 있는 해커가 필수였다. 이제 30살이라는 오씨의 프로그래머 경력이 10년이나 된다고 하니 시행착오는 없겠지.

중국, 태국에 PC 몇 대를 두고 요즘 유행하는 분산서비스(DDoS) 공격을 하기로 마음 먹었다. 경마사이트는 '분', '초'가 생명인데 사이트 접속이 안 되면 여기 쓰던 사람들이 우리 사이트로 오겠지.

일단 좀비PC를 만들어야 한다. 자그마치 1천42개 인터넷 사이트를 동원해 미리 제작한 악성코드를 퍼뜨렸다. 요즘 웹하드나 파일공유사이트를 통해 악성코드를 유포하는 것은 위험하다. 이미 수법이 많이 알려졌기 때문이다.

신용카드, 온라인마켓을 활용하자. 메일에 악성코드가 담긴 첨부파일을 추가해 보내니 사람들이 참 잘도 낚였다. 벌써 좀비PC를 3만대나 확보했다. 가짜 프로그램용 인증서를 발급했던 것이 제대로 먹혔다. PC에 감염시킬 때 아무런 제재도 받지 못했기 때문이다. 다른 경마 사이트들도 공격 준비하고 있으니 우리가 먼저 저쪽 사이트를 폐쇄시켜야 후환이 없다.

경찰청 사이버테러대응센터는 지난 2010년 말 해외 원정 해킹조직을 적발해 피의자를 검거했다. 이들은 중국과 태국에 근거지를 두고 자신들이 운영하는 경마사이트의 수익성을 높이기 위해 다른 경쟁 경마사이트에 무려 1년 동안 DDoS 공격을 감행했다. 더구나 경쟁 사이트들의 운영을 방해하기 위해 협박, 갈취, 청부사업까지 진행했다.

당시 경찰은 공인인증기관과 인증서 발급 대행사업자에게 해킹수법을 설명하고 발급절차를 보강토록 했다. 감염된 좀비PC에 대해서는 한국인터넷진흥원(KISA)에 접속차단조치를 취할 것을 요청했다.

보안전문가들에 따르면 경쟁 불법도박사이트를 겨냥한 DDoS 공격은 수년 전부터 암암리에 이뤄져 왔다. 상대방 사이트를 마비시켜 그곳 사용자들을 자신들의 사이트로 유치하거나 심지어는 경매 과정에서 승부를 조작하기 위해 자신들이 운영하는 사이트를 해킹하는 방법도 사용됐다.

이를테면 1번 경주마가 이길 것 같으면 경기 중에 2번에 걸었던 판돈을 마치 1번에 건 것처럼 조작하는 등의 방법이 사용됐다.

문제는 해커를 적발하기가 쉽지 않다는 점이다. 국내 해커들은 대부분 중국, 태국, 필리핀 등지에서 해외 원정 해킹을 시도하는 일이 대부분이다. 우리나라를 대상으로 한 해킹공격의 범인을 찾기 힘든 이유는 대부분 공격에 사용된 IP주소가 외국에 있기 때문이다. 중국, 필리핀 등에서 이뤄지는 해킹은 IP주소를 역추적한다고 하더라도 누가 최초로 악성코드를 유포했는지를 알기는 어렵다.

관련기사

대부분 해외에서 수사공조가 이뤄져야 하는데 IP를 마치 개인정보처럼 다루는 나라도 있고, 중국도 공안의 협조를 기다려도 함흥차사인 경우가 많다고 사이버 수사관들은 어려움을 토로한다.

피싱, 파밍 사기가 만연한 가운데 불법도박사이트들 간의 해외 원정 해킹을 통한 '사이버 세력다툼'이 끊이지 않고 있다.