[인터넷 대란] 바이러스 진원지 파악 힘들듯

"인터넷 대란 진원지 파악 가능할까?"

미 연방수사국(FBI)을 비롯한 주요 기관들이 지난 주말 사이버 세상을 뒤흔든 인터넷 대란 진원지 수색에 나선 가운데 많은 전문가들은 이같은 작업에 대해 회의적인 반응을 보이고 있다고 AP통신이 28일(현지 시간) 보도했다.

전문가들은 공격 소프트웨어를 샅샅이 조사했지만 인터넷 대란의 진원지나 바이러스 배포자에 대한 증거를 찾지 못했다고 주장했다. 이들 중엔 FBI나 미국 관련 기관들에 기술 자문을 제공한 사람들도 상당수 포함돼 있다.

온라인 보안 회사인 아이디펜스(iDefense)의 애널리스트인 켄 던햄은 "이번 공격의 진원지를 찾을 가능성은 희박한 것으로 보인다"고 말했다. 그는 특히 "우리는 결정적인 증거(smoking gun)를 확보하지 못하고 있다"고 덧붙였다.

◆ 영국 데이비드 리치필드의 코드에 기반한 듯

많은 전문가들은 이번에 인터넷 대란을 초래한 웜 바이러스가 몇 개월 전 영국의 저명한 컴퓨터 연구자인 데이비드 리치필드가 웹에 발표한 소프트웨어 코드에 기반한 것으로 믿고 있다.

이후 '라이언(Lion)' 같은 중국의 해커 커뮤니티 내의 바이러스 제작자가 이 코드를 수정했을 것이란 게 이들의 분석이다.

이렇게 수정된 컴퓨터 코드는 '홍커(Honker)'로 알려진 중국 해커연합의 온라인 은신처에 올려졌을 것이라고 AP는 전했다. '홍커'는 지난 2001년 미국 스파이 비행기 강제 불시착 사건 이후 미국과 중국 해커간의 분쟁에 적극적으로 개입하고 있다.

하지만 전문가들은 중국 해커그룹이 슬래머 웜을 유포했는 지에 대한 확증은 없다고 주장하고 있다. 이전의 다른 인터넷 공격 사례와 달리 이번 웜은 해커들의 정체나 위치를 알 수 있는 증거를 찾을 수 없기 때문이다.

지난 2000년 5월 전 세계 네티즌을 공포로 몰아넣었던 '러브 바이러스' 때만 해도 상황이 달랐다. 필리핀의 한 컴퓨터 학도가 만든 이 바이러스에는 그 학생이 다니는 대학과 학급의 컴퓨터 코드가 포함돼 있었던 것. 미국의 수사기관들이 바이러스 출몰 24시간 내에 범인을 추적할 수 있었던 것도 바로 이같은 허점 때문이었다.

◆ '블루프린트' 추적 통한 범인색출 쉽지 않을 듯

현재 수사관들은 이번 바이러스의 블루프린트(blueprints)나 공격 진원지 추적 작업을 통해 웜 작성자를 추적하고 있다. 블루프린트란 '프로그래밍 가이드'를 의미하는 말. 실지로 지난 해 5월 17일 영국의 NGS는 'SQL 서버 취약점을 이용해 악성 공격을 가할 수 있다'는 기술 문서를 발표한 바 있다.

수사기관들은 해커들이 이 기술 문서에 기반해 슬래머 웜을 만들었을 것으로 파악하고 있다.

하지만 전문가들은 이같은 방법을 통해서 증거를 포착하기 힘들 것으로 평가하고 있다. 특히 이번 '슬래머 웜'에서는 예전의 러브 바이러스에서 찾을 수 있었던 증거들이 전혀 없어서 작성자 추적이 사실상 불가능한 것으로 평가되고 있다.

FBI는 미국에서 인터넷 마비 사태가 발생하기 전 한국과 일본에서 먼저 바이러스 감염이 시작된 것으로 파악하고 있다. 하지만 그렇다고 해서 바이러스 제작자가 이 지역에 거주하고 있다는 얘기는 아니라는 게 전문가들의 주장이다. 단지 처음 감염된 컴퓨터가 이 지역에 있다는 의미 밖에 되지 않는다는 것.

그렇다고 해서 범인 색출이 완전히 불가능하다는 얘기는 아니다. 현재 FBI 등 수사 기관이 기대를 걸고 있는 것은 채팅 룸 같은 온라인 공간 수사. 해커들은 일반적으로 채팅 룸을 통해 자신들의 '무공'을 자랑하는 경우가 많기 때문이다.

FBI는 이같은 방법을 사용해 지난 2000년 미국 주요 전자상거래 사이트를 공격했던 캐나다 해커를 체포한 바 있다.

김익현 기자의 다른 기사 보기