“박원순 홈피는 로그기록 없어 난항 예상”

경찰이 10·26 재보궐선거 당일 중앙선거관리위원회 홈페이지를 디도스(DDoS) 공격했던 좀비 PC 2대를 확보하며 수사에 박차를 가하고 있다.

다만 유사한 시간대에 유사한 공격을 받은 박원순 서울시장의 홈페이지는 접속 기록 확보가 쉽지 않아 시작부터 난관에 봉착했다.

경찰청 사이버테러대응센터 관계자는 27일 “선관위로부터 받은 100여개의 IP 주소를 토대로 좀비PC를 찾아내 하드디스크 2개를 확보했다”고 밝혔다.

이 관계자는 “공격을 촉발시킨 악성코드를 확인하려면 좀비PC를 더 많이 확보해야 한다”면서 “일정 수 이상의 좀비PC가 확보되면 분석 작업을 시작할 것”이라고 말했다.

경찰은 “좀비PC에 포함된 악성코드가 어떤 것이냐에 따라 분석 작업에 걸리는 시간에도 차이가 있다”면서 “현재로선 공격 배후를 밝히는데 얼마나 시간이 걸릴지 예단할 수 없다”고 설명했다.

경찰은 공식 수사를 의뢰한 선관위로부터 홈페이지에 접속한 IP주소를 받아 밤샘 수사를 진행했다.

접속 기록은 디도스 공격이 발생한 시간대 해당 서버에 접속한 IP 정보로 좀비PC의 존재를 밝히고 배후를 추적하는 데 가장 기초적인 단서다.

비슷한 시간대에 디도스(DDoS) 공격을 받았던 박원순 시장의 ‘원순닷컴’(www.wonsoon.com)’의 경우 아직 공식 수사 의뢰가 없었던 데다 로그 기록 확보가 어려워 수사에 다소 어려움이 예상된다.

사이버테러대응센터 관계자는 “어제 현장에 수사관을 보내 확인한 결과 박 시장의 홈페이지는 호스팅 업체를 두고 운영하는 곳이라 로그 기록이 남지 않는 구조”라면서 “접속 기록이 없으면 좀비PC와 악성코드의 존재를 확인하는 것이 어려워져 수사에 소요되는 시간도 길어진다”고 말했다.

이 관계자는 “선관위와 박 시장 홈페이지에 대한 공격은 비슷한 시간대에 유사한 형태로 이뤄지기는 했지만 디도스 공격이라는 것이 요즘은 워낙 일상화돼 있는 만큼 동일범의 소행이라고 단정할 근거는 아직 없다”고 설명했다.

박 시장의 홈페이지는 선거 당일인 26일 오전 1시47분~1시59분에 1차 공격을 받은 데 이어 5시50분~6시52분에 2차 공격을 받았고 선관위 홈페이지는 6시15분~8시32분에 공격을 받아 외부 접속이 되지 않았다.

연합뉴스