사흘간 대한민국이 분산서비스거부(DDoS) 공포에 휩싸였다. 2009년 5일 이상 지속되며 수백억원의 피해를 입힌 7·7 대란 이 후, 20개월만에 악몽이 재현된 것이다.
다행히 이번 DDos 공격의 피해는 악성코드에 대한 사전대응을 통해 그리 크지 않은 것으로 추정된다. 하지만 안심은 이르다. 추가 공격 가능성이 여전한데다 최근 사이버 공격은 날로 다양해지고 있기 때문이다.
◇'보안불감증'이 부른 예고된 공격=이번 DDoS의 악성코드는 국내 P2P사이트인 셰어박스와 슈퍼다운을 통해 유포됐다. 공격자가 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 공유파일 일부에 악성코드를 삽입한 것이다.
관련업계는 이번 DDoS 악성코드 중 일부가 하드디스크를 파괴시켜 개인PC에 손상을 일으킬 수 있다고 경고했다. 차후 문제점이 더욱 우려된다는 얘기다. 한국인터넷진흥원(KISA)에 의해 4일 오후 확인된 좀비PC 수만 5만1천여대에 이른다.
이번 DDoS공격을 키운 것은 웹하드 업체의 '보안불감증'이었다. 방통위는 이번 DDoS 상황을 예방할 수 없었냐는 질의에 대해 "보안 취약성이 높은 웹하드 업체에 무료로 보안검사를 해주겠다고 권고했다"며 "하지만 응하는 업체가 없었고 결국 문제가 발생하게 된 것"이라고 대답했다.
☞디도스(DDoS)
'분산 서비스 거부 공격'(Distribute Denial of Service attack)의 영문 약자로 특정 사이트나 서버를 무력화시키는 사이버 테러다. 다수의 컴퓨터를 일제히 작동시킨 후 대량 접속 신호를 유발해 공격 대상 사이트를 마비(네트워크 과부하, 접속 장애)시킨다. 쉽게 말해 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 해킹 방식이다.
◇교활해지는 DDos 공격=이번 DDoS 악성코드가 과거 7·7 대란과 다른 점은 두 가지다. 공격 대상 사이트 서버에 직접 명령을 내려 과부하를 일으키고, 백신 소프트웨어를 무용지물로 만드는 것이다.
과거 7·7 대란 악성코드는 대향의 접속으로 공격 대상 사이트를 마비시켰지만, 이번 악성코드는 아예 서버에 침투해 오작동을 유발시킨다. 이렇게되면 적은 숫자의 좀비PC만로도 강력한 파괴력을 지니게 된다. 그만큼 악성 코드가 지능화된 셈이다.
백신을 무력화 시키는 점도 7·7 대란과 다르다. 이번 악성코드는 백신 소프트웨어의 치료엔진 업데이트를 원천적으로 차단한다. 악성코드가 자신의 치료정보가 갱신되지 못하도록 백신의 자동 업데이트 기능을 해제시키는 것이다.
☞좀비PC
해커가 디도스(DDoS) 공격을 가하기 위해 악성 코드(바이러스)로 감염시킨 컴퓨터를 지칭한다. PC 사용자는 악성 코드에 감염된 사실을 모르는 경우가 대부분이며, PC는 해커에 의해 원격 조종된다.
◇국민이 막은 3·3 DDos 대란=보안업계들은 이번 공격에 이미 구축된 DDoS대응체계로 비교적 순조롭게 방어가 이뤄졌다고 평가한다. 7·7 대란의 교훈으로 얻은 학습효과가 크다는 얘기다.
무엇보다 대한민국 국민들의 높은 보안의식이 빛을 발했다. 이번 DDos 공격 기간 동안 국민들이 내려받은 전용 백신 다운로드수는 200여만건에 달한다. 이같은 국민들의 적극적인 보안의식으로 대규모 피해를 막을 수 있었던 것이다.
보안업체들과 기관들의 발빠른 대응력도 돋보였다. 안철수연구소, 하우리 등 백신업체들은 비상대응체제를 가동하며 DDoS공격을 유발하는 악성코드 전용 백신을 개발해 무료 배포중이다. KISA도 사이버치료체계인 보호나라를 통해 전용백신을 설치하도록 사용자들을 장려하고, 패턴분석 등으로 발빠르게 대응했다.
DDoS공격을 탐지해 추가공격까지에 대한 비상대응체제를 가동한 방통위의 대처도 뛰어났다. 정부는 국내 주요 인터넷 서비스 제공자(ISP)와 대형포털, 금융기관 등에도 협조를 구해 실시간 공격 차단체계를 유지했다.
◇DDoS 일단락?= 지난 5일 공격이후 아직까지별다른 피해가 발생하지 않고있다. 그렇다고 아직 DDoS 공격이 완전히 종료된 것은 아니다.
보안업체의 한 관계자는 "추가 공격에 대한 정보는 현재로선 확인된 게 없다"면서 "다양한 형태의 사이버 공격이 끊임없이 발생하고 있어 안심하기는 이르다"고 말했다. 방방통위 역시 추가적인 DDoS 공격이 발생할 것에 대비해 사이버위기 경보를 '주의' 상태로 유지하고 있다.
다만, 악성코드에 감염된 시각에 따라 공격 시간이 분산되기 때문에 한꺼번에 대량 트래픽을 일으키는 공격 가능성은 크지 않은 것으로 전망된다.
방통위 관계자는 "현재로서는 추가 공격 명령은 없는 것으로 나타났다"면서 "개인이나 기업에서 백신을 다운받아 치료하는 것이 중요하다"고 강조했다.
/ 김지훈기자 juku1@naver.com
