7.7 분산서비스거부(DDoS) 공격을 야기한 ’숙주 사이트’ 4개가 발견돼 차단됐다.
또 이미 활동이 멈춘 악성코드를 다시 활성화시키는 ’업데이트 사이트’ 2개에 대해서도 차단 조치가 내려졌다.
10일 정부와 보안업계에 따르면 이날 오후 미국 등 해외에 서버를 둔 사이트 4개가 DDoS 공격을 야기한 악성코드를 유포한 곳으로 파악됐다. 이에 정부 측은 4개 사이트에 접속 차단 조치를 취하고, 숙주사이트가 추가로 있는지 조사하고 있다.
이에 따라 공격에 사용된 악성코드의 전파 경로를 찾지 못해 방어에 애를 먹어왔던 이번 사태가 진원지를 발견함으로써 문제 해결의 전기를 마련하게 됐다.
정부 측과 보안업계에서는 전파 경로의 차단을 사태 확산과 장기화를 막기 위한 열쇠로 여겨왔다. 전염 경로를 발견하지 못할 경우 악성코드가 새로 전파될 가능성이 높다. 그러나 숙주 사이트를 발견했다고 해서 역추적 방식으로 배후를 찾아내기는 쉽지 않다는 게 대체적인 분석이다. 이번 공격은 악성코드 배포자가 공격 중간에 직접 지휘를 하지 않기 때문이다. 정부 측은 보안업체로부터 넘겨받은 82개 사이트와 자체적으로 의심을 둔 사이트들을 자세히 조사한 결과 이들 사이트에서 악성코드가 유포된 것을 발견했다.
이번 4개 사이트 외의 숙주 사이트가 발견되지 않는다면 이 경로를 통한 새로운 ’좀비PC’가 발생할 가능성이 줄어들게 된다. 현재 감염된 PC만 치료한다면 사태가 진정되는 셈이다.
다만 악성코드 배포자가 다시 다른 사이트를 숙주로 삼는다면 새로운 경로로 악성코드가 전파될 수도 있다. 그러나 이 과정에서 시간이 걸릴 수도 있는데다, 민관 분야에서 보안 패치가 상당수 설치되고 있기 때문에 이를 피할 수 있는 새로운 악성코드를 만들지 않는 한 큰 변수가 되지 않을 것이라는 전망이다. 정부 관계자는 “배포자 입장에서 볼 때 기존 악성코드를 새로운 숙주 사이트로 유포하게 되면 효과가 반감될 수 있기 때문에 당장에 새로운 루트를 찾을 가능성은 높지 않다”고 말했다.
사이트 외에 이메일도 악성코드 유포의 원인이라는 일부 보안업계의 분석이 나오고 있지만, 정부 측은 아직 이메일을 통한 전파 경로가 확실치 않다고 신중한 태도를 보이고 있다. 정부 측은 또 악성코드를 업데이트해 새로운 공격에 동원되도록 하는 해외 사이트 2곳을 차단했다.
이들 사이트는 1차 공격 시 사용됐다가 24시간 만에 활동을 멈춘 악성코드가 잠시 휴면기를 거친 뒤 2차 공격을 할 수 있는 악성코드로 변환시키는 역할을 담당한다.
지금까지는 1차 공격 시 동원된 악성코드가 공격 종료 후 활동을 하지 않는 것으로 전해졌다. 정부 관계자는 “1차 악성코드가 2차 악성코드로 변환되고 재차 3차 악성코드로 변환될 가능성이 있다”면서 “만약 2차 악성코드를 3차 악성코드로 업데이트해주는 사이트가 1, 2차 업데이트 사이트와 같다면 더 이상 업데이트가 이뤄지지 않을 것”이라고 설명했다.
만약 단계마다 악성코드를 업데이트 시키는 사이트가 이들 2곳뿐이라면 3차 공격이 상당히 완화될 수 있다는 추정이 가능하다.
이와 함께 이번 사이버 테러 과정에서 악성코드에 감염된 PC는 총 8만여 대에 달한 것으로 밝혀졌다. 지금까지 1차 공격 시 좀비PC는 2만2천여 대, 2차 공격 시 2만9천여 대로 알려졌으나 1차 공격 시 좀비PC가 다소 증가한데다 2차 공격 시 2만여 대가 추가로 공격에 가담한 것으로 나타났다.
[연합뉴스]