경찰 추적 피하려 IP 세탁 무선인터넷 10개 바꿔 써

지능적 공격 수법
좀비피시 1500여대 동원
비서 공씨 ‘차명폰’ 사용
경찰 “범행과는 관련 없다”

10·26 재보궐선거 당일 중앙선거관리위원회와 박원순 서울시장 후보의 누리집을 공격한 강아무개(25)씨 일당은 사건을 준비하면서 1500여대의 좀비피시(PC)를 동원했으며, 경찰의 추척을 따돌리려고 무선인터넷 10개를 바꿔가며 사용하고 아이피 세탁까지 한 것으로 드러났다.

4일 경찰청 조사 결과, 이들은 애초 알려진 것보다 7배나 많은 좀비피시를 동원해 최대 1~2GB의 트래픽을 발생시킨 것으로 드러났다. 또 경찰의 추적을 피하려고 티로그인 5개, 와이브로 5개 등 모두 10개의 무선인터넷을 사용하기까지 했다.

경찰청 사이버테러대응센터의 정석화 수사실장은 “좀비피시를 동원하고, 무선인터넷을 사용하는 데서 나아가 아이피 세탁까지 한 것은 교묘한 수법”이라며 “하지만 인터넷에 떠도는 소문처럼 기존 디도스 공격과 다른 것은 아니고 디도스 공격 툴을 이용한 전형적인 패턴”이라고 설명했다. 디도스 공격이 시작되면 서버가 처리할 수 없을 정도로 많은 트래픽을 일시에 보내 서버의 기능을 마비시키는데, 이 경우에도 일부 이용자는 선관위 누리집 접속에 성공하기도 하고, 또 몇몇은 투표소 정보까지 확인할 수 있었다는 게 로그 분석 결과 밝혀졌다는 것이다.

그동안 일부 누리꾼들과 보안전문가들은 선거 당일 선관위 누리집이 디도스 공격을 받았지만 대부분의 이용자들이 첫 화면 접속에 별 어려움을 겪지 않았고, 투표소 정보를 확인하는 페이지만 접속이 되지 않았다는 점을 지적해왔다. 이를 근거로 일반적인 디도스 공격이 아니라 투표소 정보를 불러오는 데이터베이스만을 마비시킨 지능적 공격이라는 의혹이 제기돼왔다.

최구식 한나라당 의원의 비서인 공아무개(27)씨는 경찰 조사에서 선관위 누리집 공격을 지시했다는 혐의에 대해 여전히 완강하게 부인하고 있는 것으로 알려졌다. 공씨는 강씨와 전화를 한 이유에 대해서는 ‘지인의 병원사업 등에 투자를 해달라고 강씨에게 부탁하려고 전화를 했다’고 진술하고 있다고 경찰은 전했다.

그러나 강씨는 “10월25일 밤 9시가 조금 넘어 공씨에게 처음 전화가 왔는데 받지 못해 밤 11시가 넘어 공씨에게 내가 전화를 했다”며 “그때 (디도스 공격) 지시를 받았고, 새벽 1시~1시40분께까지 시범공격을 했다”고 일관되게 진술하고 있다는 것이 경찰의 설명이다. 경찰은 통화내역 조회를 통해 강씨의 진술이 사실인 것으로 확인했다고 밝혔다.

하지만 선관위 누리집을 공격한 이유에 대해서는 아직까지 뚜렷한 진술이 나오지 않고 있다. 정 실장은 “강씨가 공씨의 공격 지시를 받고 ‘평소 신의가 있는 사이라 그 이유 등을 묻지 않았다’고 진술하고 있지만, 공씨와 강씨가 안 지 1년도 채 되지 않는다”며 “강씨는 공씨가 최구식 의원실에서 일한다는 사실도 알고 있었다”고 밝혔다.

공씨가 강씨와 통화한 휴대전화가 본인 명의가 아닌 지인 명의의 ‘차명폰’이라는 사실도 경찰 조사 과정에서 밝혀졌다. 경찰은 이에 대해 “공씨가 오래전부터 차명폰을 사용해왔기 때문에 이번 범행과 직접 관련은 없어 보인다”고 설명했다.

경찰은 선거 전날인 10월25일과 선거 당일인 26일 공씨의 행적을 밝히고, 계좌추적과 통화내역 확인을 통해 공씨를 최대한 압박할 방침이다. 한편 박원순 서울시장 쪽은 이날 오후 누리집 ‘원순닷컴’의 로그 기록을 경찰청 사이버테러대응센터에 제출해 경찰 수사가 속도를 낼 것으로 보인다.

유선희 기자 duck@hani.co.kr