7.7 분산서비스거부(DDoS) 공격의 진원지가 영국 인터넷주소(IP)를 경유한 미국 서버로 밝혀졌지만 이마저도 중간 경유지일 가능성이 높아 경찰 등 수사당국의 해커 추적 작업이 쉽지 않을 전망이다.

더욱이 해커가 이번 공격을 총지휘한 '마스터 서버'로 가상사설망(VPN)을 사용하는 업무 간 시스템을 이용했다는 외신 보도가 나오면서 해커의 의도와 존재에 대한 추정을 더욱 복잡하게 만들고 있다.

외신에 따르면 미국 마이애미에 소재한 마스터 서버는 VPN을 통해 영국 IPTV업체인 GDB(Global Digital Broadcast)사와 프로그램을 송수신하는 서버로 전해졌다.

이 서버가 마스터 서버가 확실하다면 수십 개국에 퍼진 100여개의 IP를 통해 16만6천대의 '좀비PC'에 공격명령을 전달한 셈이 된다.

그러나 한 보안전문가는 "아직 외신을 통해 들어온 것 외에 구체적인 정보가 없는데다 국내 수사기관도 정보를 공개하지 않아 확신할 수 없지만 지금까지의 수법에 비춰 마이애미의 서버도 위장용일 가능성이 높다"고 말했다.

그는 "경유지를 복잡하게 설정하는 것은 어려운 일이 아니다"면서 "만약 마스터 서버로 최종 확인된다 해도 로그 기록을 삭제해 복원할 수 없도록 했을 가능성이 높다"고 덧붙였다.

게다가 국내 수사당국이 해당 서버에 대해 직접적인 조사를 벌일 수 없고, 해당국이 수사를 해야하기 때문에 수사 공조체제가 유기적이지 않는다면 수사의 장기화는 불가피하다.

GDB는 모든 관련 자료를 영국의 수사당국인 중대범죄조직청(SOCA)에게 넘겼다고 밝혔지만 미국 마이애미에 있는 서버까지 넘겼을 가능성은 희박하다.

해당 서버가 단순한 경유지로 판명나거나 다른 마스터 서버가 있을 경우 수사 장벽은 더 높아질 것으로 보인다.

해커가 VPN을 이용한 데 대해서도 분석이 엇갈린다. 한 보안전문가는 VPN을 사용하는 업무용 서버를 노린 것 자체가 마스터 서버를 들키지 않고 지휘체계를 유지하기 위한 것이라고 추정했다.

여기에는 IPTV 업무용 서버는 24시간 서비스가 기본이어서 정밀한 점검이 어렵기 때문에 들킬 가능성이 적다는 논리가 뒷받침된다. 또 해커가 양국 업체들 간의 서비스 구조도 파악할 정도의 정보력을 가지고 있다는 추정도 가능하다.

이에 해킹대회 우승자 출신인 구사무엘씨는 "어떤 서버를 이용하든 로그만 지우면 추적을 차단할 수 있어 특별히 VPN을 염두에 두고 해당 서버를 노렸다고 생각하지 않는다"면서 "해당 서버가 보안이 취약하기 때문에 해킹했을 가능성이 높다"는 의견을 제시했다.

한 보안업체 임원도 "우연히 VPN을 이용하는 업무용 서버를 해킹해 들어갈 수 있다"면서 "이 같은 방식이 일반적인 서버를 이용하는 것보다 굳이 추적을 더 까다롭게 만든다고 볼 수는 없다"고 말했다.

공격 경로가 더욱 복잡해지면서 해커의 공격 의도에 대한 추정은 더욱 오리무중 상황으로 빠졌다. 지금까지 정보로는 갖가지 추정만 해볼 뿐 단정짓지 못하는 분위기다.

구씨는 "해커의 기술력은 새로운 것이 아니지만 전체적으로 해킹을 구성한 전략적인 면에서는 뛰어나다"면서 "의도가 분명치 않은 현재 상황으로선 해커의 정체를 추정하기가 어렵다"고 말했다.

그는 또 "전 세계적으로 국내 인터넷망이 가장 발달했기 때문에 해커 입장에서는 실험하기 좋은 경우로 이번 공격에서 수집된 정보를 가지고 각국의 환경을 분석, 새로운 공격을 시도할 가능성도 있다"고 말했다.

이밖에 해커가 VPN을 노린 이유가 정교한 계획에 따른 것이라면 수준급 실력의 국제적인 조직이 공격의 배후에 자리 잡고 있을 것이라는 주장도 제기되고 있다.