청와대 등 주요 사이트 홈페이지를 마비시킨 DDoS(분산서비스거부) 공격 때 동원된 좀비PC 중 일부에서 데이터가 빠져나간 흔적이 포착됐다.

경찰청 사이버테러대응센터와 한국정보보호진흥원(KISA)은 14일 "좀비PC를 감염시킨 악성코드를 분석한 결과 좀비PC 내부의 파일 목록을 59개국의 416개 서버로 전송하도록 하는 기능이 있는 것으로 확인돼 조사 중"이라고 밝혔다.

 악성코드는 DDoS 공격 전 좀비PC의 '내문서', '바탕화면', '최근문서' 등 폴더에 있는 파일들의 이름을 압축해 이들 외부 서버로 전송한 것으로 파악됐다.

그러나 아직은 좀비PC 내부에 저장된 파일 자체가 유출됐는지는 확인되지 않았다고 경찰은 전했다.

경찰은 이번 DDoS 공격을 유발한 해커 집단이 이들 서버에 접속해 좀비PC에서 빼돌린 정보에 접촉했을 가능성을 염두에 두고 추적하고 있다.

경찰은 416개 서버 중 우리나라에 15개가 있는 사실을 알고 이들 서버의 접속을 차단하는 한편 12개 서버를 입수해 분석 중이다.

우리나라의 서버들이 발견된 곳은 일반 기업체와 대학교, 가정집 등으로 다양하며, 경찰은 이들 서버도 해킹당한 것으로 추정하고 있다.

나머지 해외 401개 서버는 한국정보보호진흥원(KISA)이 접속을 막아놓은 상태다.

경찰은 "해커 일당이 좀비PC 내부 파일을 빼내지는 않고 PC에 어떤 파일들이 저장돼 있는지를 들여다본 것으로 파악됐다"며 "해커들이 왜 이런 일을 했는지도 알아보고 있다"고 말했다.

KISA 관계자는 "악성코드는 6일 새벽 DDoS 공격과 파일 파괴 기능을 가진 악성코드를 업데이트한 것으로 나타났으며, 좀비PC의 정보를 빼내는 기능을 한 추가 악성코드가 배포됐는지 등은 파악되지 않았다"고 밝혔다.

DDoS 공격이 끝나고 나서 악성코드의 '자폭' 프로그램으로 인해 좀비PC 1천200여대의 데이터가 삭제되는 피해 사례가 보고된 바 있지만, 이번에는 DDoS 공격 이전 좀비PC의 내부 정보가 유출된 것이 확인된 것이다.

경찰은 좀비PC 하드디스크 27개를 수도권 등에서 확보해 인터넷 접속 시도, 내려받은 파일, 이메일 사용 이력 등에 공통점이 있는지를 분석하는 한편 해외에 있는 것으로 파악된 '업데이트 서버' 6대를 조사하고자 수사 공조를 벌이고 있다.