“백주 대낮에 강도를 당하고도 범인이 되돌아와 또 행패를 부릴까 걱정됩니다.”
사이버 조폭에 피해를 본 대다수 회사는 이런 걱정에 시달린다. 분산서비스거부(DDoS) 공격으로 인해 사이트가 마비돼 서비스가 중단된 후 온갖 방법을 다 써보고 결국은 사이버 조폭에 돈을 송금한다. 서비스는 정상화되지만 사이버 조폭의 해킹 수법은 더욱 교묘해지고 요구 수준은 높아진다.
◇사이버 조폭은 누구인가=‘사이트 공격자입니다. 연락 한번 주세요.’ 특정 사이트를 대상으로 서비스를 할 수 없게 해킹을 가한 후 돈을 요구하는 사이버 조폭은 자신들을 당당히 공격자라고 밝힌다. 국내 사이트를 공격하는 이들이 보낸 e메일의 IP를 추적해 보면 대부분 중국이다. 하지만 이미 사이버 조폭은 중국은 물론이고 전 세계를 막론하고 창궐하는 추세다.
세계적인 정보보호기업 시만텍의 조사에 따르면 지하 경제에서 활동하는 사이버 범죄자들은 동일한 목적을 공유한다. 이들은 개인들의 집합체부터 조직화하고 복잡한 그룹까지 형태가 다양하다. 세계 경제 침체로 자금줄이 막힌 범죄조직이 대거 가담했으며 전문 해커를 고용해 돈을 요구하고 자금을 세탁하는 상황에 이르렀다. 특히 국내 기업을 상대로 금품을 요구하는 사이버 조폭은 IP 우회를 통해 공격 지점 파악을 방해하고 해외 대포 통장으로 송금받는 등 오프라인 조폭 뺨치는 교묘함을 보인다.
◇어떤 피해를 보나=사이버 조폭들은 한 번에 웹 서비스를 중단시키지 않는다. 이들은 시간차 공격으로 자신의 의도를 먹잇감으로 삼은 기업에 알린다. 사이버 조폭들은 목표 기업의 인터넷 서비스를 우선 한 시간 정도 마비시킨다. 이때 실무자들은 한 시간 정도의 마비는 장비 노후화 등으로 일어난 경미한 에러로 보는 사례가 많다.
다음날 사이버 조폭은 고객이 사이트를 가장 많이 방문하는 시간에 홈페이지를 다운시키고 페이지를 찾을 수 없게 한다. 이후 회사로 연락하라는 메시지를 보낸다. 여기에 답하지 않으면 사이버 조폭은 다음날 같은 시간에 사이트를 다시 공격한다. 이때 사용하는 해킹 수법은 주로 DDoS 공격이다.
사이버 조폭들은 비정상적으로 많은 트래픽을 발생시켜 특정 사이트를 마비시킨다. 평소 서버는 허용치의 10% 내외로 트래픽이 일어나는 게 정상인데 DDoS 공격을 받으면 서버 허용치의 90%를 넘어선 트래픽이 발생, 일반 이용자의 접속은 불가능해진다. 최근 일반적인 DDoS 공격과 달리 웹 서버와 DB를 함께 다운시켜 웹사이트를 초토화시키는 캐시컨트롤(CC) 공격 등 더욱 치명적인 수법도 등장했다.
◇대처 방법은=이 같은 해킹에 대응하려면 현실적으로 기업 내 정보보호 수준을 높여야 한다. 특히, DDoS 공격 등에 대응하기 위해선 관련 전문 솔루션을 설치하고 보안 관제를 받아 갑작스러운 트래픽 증가에 유기적으로 대응해야 한다. 보안 전문가들은 사이버 조폭들이 자주 쓰는 수법은 관련 보안 솔루션 설치와 보안 취약점 패치 등으로 막을 수 있다고 설명한다. 또, 협박을 당한 기업은 경찰청 사이버수사대에 신고하고 도움을 받아야 한다.
유명호 안철수연구소 과장은 “중소기업들은 웹 취약점 패치나 관련 보안 장비로 게이트웨이단에서 이들의 공격을 방어할 수 있다”며 “대형 사이트들은 ISP 등과 협업해 망 접속을 차단하는 형태로 대응할 수 있다”고 설명했다.
장동준기자 djjang@etnews.co.kr 김인순기자 insoon@etnews.co.kr
관련 통계자료 다운로드 DDos 공격 개요도