청와대 등 국내외 35개 사이트를 마비시킨 사이버 테러에 동원된 좀비 PC 중 일부에서 데이터 목록이 유출된 것으로 드러났다. 개인이나 기업의 PC에 있던 문서나 정보가 유출됐을 가능성이 높다는 얘기다.

경찰청 사이버테러대응센터는 14일 "좀비 PC를 감염시킨 악성 코드를 분석한 결과 좀비 PC에 저장된 파일 목록을 59개국의 416개 서버로 전송케 하는 기능이 있는 것으로 확인됐다"며 "실제 압수한 서버로부터 좀비 PC에서 빼 낸 파일 목록이 있는 것을 확인했다"고 밝혔다. 좀비 PC는 해커가 사용자 몰래 악성 코드를 심어 해킹 등에 동원한 PC를 의미한다. 이에 따라 최악의 경우 7만8000여대에 이르는 좀비 PC의 각종 정보들이 대거 유출됐을 가능성을 배제할 수 없게 됐다.

경찰청은 좀비 PC의 '내 문서' 폴더에 있는 파일들의 이름(목록)이 외부 서버로 전송됐으며, 좀비 PC에 저장된 파일 자체가 유출됐는지 여부를 조사 중이라고 설명했다. 한 관계자는 "해커 일당이 좀비 PC 내부의 파일을 빼 내지는 않고 PC의 '내 문서' 폴더에 있는 파일 목록만 유출한 것으로 파악되고 있지만 파일 유출 여부도 조사하고 있다"고 말했다.

경찰청은 일단 한국정보보호진흥원(KISA)에 통보해 파일 목록이 유입된 서버들을 차단하도록 조치했다. 또 416개 서버 중 국내에 15개가 있는 것을 확인하고 이 중 12개를 확보해 분석 작업을 벌이고 있다. 보안 전문가들은 이들 서버가 일반 가정집,교회,기업 등에서 쓰고 있는 서버들이어서 사이버 테러의 경유지로 활용됐을 것으로 보고 있다. DDoS 공격에 쓰인 악성 코드를 유포한 19개국 92개 IP(인터넷주소)와는 다른 새로운 경로인 셈이다.

한편 방송통신위원회는 이날 청와대 등 35개 국내외 사이트에 대한 DDoS 공격을 진두지휘한 메인 서버가 영국에 있다는 사실을 베트남 컴퓨터 보안업체인 브키스로부터 통보받았다고 밝혔다. 브키스는 아시아 16개국 22개팀으로 구성된 민간 자율 침해사고대응팀인 아태침해사고대응팀협의체(APCERT)에 소속된 업체다.

박영태 기자 pyt@hankyung.com