정부가 분산서비스거부(DDoS) 공격을 야기한 6개 숙주사이트를 발견하고 이를 전격 차단함에 따라 1, 2, 3차에 걸친 DDoS 공격의 위력이 점차 약화되고 있다.
그러나 DDoS에 감염된 좀비 PC에 심어둔 악성코드가 10일 0시 이후부터 PC내 하드디스크의 데이터를 파괴하기 시작하는 등 피해가 개인 사용자로 확대되면서 사태가 새로운 국면을 맞게 됐다.
정부는 지난 9일 오후 미국 등 해외에 서버를 둔 사이트 4개가 DDoS를 야기한 악성코드를 유포한 곳으로 확인하고 국내와의 접속을 전격 차단했다. 또 이미 활동이 멈춘 악성코드를 다시 활성화시키는 ’업데이트 사이트’ 2개에 대해서도 차단 조치가 내려졌다.
정부는 이에 앞서 KT 등 정보통신서비스제공자(ISP)에 좀비 PC의 제한적 인터넷 접속 차단을 요청하는 한편 공공기관 인터넷망에 ’트래픽(traffic)’을 분산시키는 장비를 도입키로 하는 등 분주하게 대응책을 마련했다. 또한 민간분야에서도 네트워크 장비를 늘리고 트래픽 분산을 유도하는 등 방어수준을 대폭 강화했다. 이에 따라 9일 오후 6시부터 시작된 3차 DDoS의 주요 공격대상으로 지목된 7개 사이트 중 국민은행 등 일부 사이트가 잠시 접속에 어려움을 겪었으나 큰 혼란 없이 정상적으로 운영됐다.
◇DDoS 야기한 6개 숙주사이트 차단=정부는 9일 오후 DDoS 공격에 사용된 악성코드의 전파 경로 역할을 했던 4개 숙주사이트를 확인하고 국내 접속을 전격 차단했다. 보안업체로부터 넘겨받은 82개 사이트와 정부가 자체적으로 의심을 둔 사이트들을 면밀히 조사한 결과 이들 사이트에서 악성코드가 유포된 것을 발견한 것. 그동안 보안업계에서는 전염 경로를 발견하지 못할 경우 악성코드가 새로 전파되면서 이번 사태가 장기화될 가능성을 우려해왔다.
이어 정부는 이미 활동이 멈춘 악성코드를 다시 활성화시키는 업데이트 사이트 2개를 추가로 발견해 차단 조치를 취하는 한편 추가 사이트 존재 여부를 추적하고 있다.
이들 업데이트 사이트는 1차 공격 시 사용됐다가 24시간 만에 활동을 멈춘 악성코드가 잠시 휴면기를 거친 뒤 2차 공격을 할 수 있는 악성코드로 변환시키는 역할을 담당한 것으로 나타났다.
이번 6개 사이트 외의 숙주 사이트가 발견되지 않는다면 이 경로를 통한 새로운 ’좀비PC’가 발생할 가능성이 줄어들게 된다. 현재 감염된 PC만 치료한다면 사태가 진정되는 셈이다.
◇국민은행 등 3차 공격 개시=7일 오후 7시를 전후로 시작된 DDoS 공격 대란은 8일 2차 발생에 이어 10일 오후 6시를 기해 3차 공격이 시작됐다.
공격 대상은 행정안전부 전자정부사이트, 조선닷컴, 국민은행, 네이버 메일, 다음 메일, 파란 메일, 옥션 등 7개 사이트로 국민은행만 접속에 다소 지장이 있을 뿐 나머지 사이트에 대한 접속은 문제가 없는 것으로 나타났다. 아울러 3차 공격 개시와 함께 2차 공격 대상 사이트는 트래픽이 줄어드는 등 공격이 멈췄다. 이는 1차, 2차 공격이 각각 24시간 동안 진행되도록 악성코드가 프로그램됐기 때문이라고 한국정보보호진흥원(KISA)은 설명했다.
이에 따라 당초 10일 오후 6시까지 진행될 예정이던 3차 공격은 점차 위력을 잃을 것으로 전망되고 있다. 이미 3차 공격에 대한 소식이 전해지면서 각 업체들이 네트워크 장비를 늘리고 인터넷주소(URL) 우회 대책 등을 마련한데다 보안업체들도 공격에 사용된 악성코드를 치료할 백신을 신속히 내놓고 있기 때문으로 분석된다.
◇해커, 좀비 PC 데이터 파괴 시작=정부와 업계가 초기의 충격에서 벗어나 대응 체제를 갖춰가는 와중에 해커는 좀비 PC의 데이터를 파괴하기 시작하며 피해가 개인 사용자로 확산되는 등 사태가 의외의 국면을 맞이하게 됐다.
방송통신위원회는 지난 9일 안철수연구소로부터 10일 0시 이후부터 실행되는 악성코드로 인해 큰 피해가 우려된다는 분석결과를 통보받았다고 밝혔다. 안철수연구소의 분석결과 이 악성코드는 감염된 ‘좀비PC’의 하드디스크를 포맷, PC 내 모든 저장정보를 자동 삭제해버릴 것으로 예상됐다. 따라서 10일 오전 들어 PC가 켜지기 시작할 경우 전국적으로 최대 8만대로 추산되는 좀비 PC가 일제히 마비되고 정보가 삭제되는 등 큰 혼란도 예상되고 있다.
방통위는 10일 이후에 PC를 켤 때에는 PC를 안전모드로 부팅(PC 전원 스위치를 누른 직후 F8키를 계속 누름)한 후에 날짜를 하루 이전 등으로 변경하고, PC를 재부팅한 후 최신 백신으로 점검하고 나서 사용할 것을 권장했다. 최신 백신은 한국정보보호진흥원(KISA)이 운영하는 보호나라 홈페이지(www.boho.or.kr)를 방문하거나 안철수연구소 등의 백신프로그램을 업데이트받아야 한다.
◇정부 제한된 인터넷 접속차단 요청=DDoS 공격이 사흘째 이어지면서 정부 대응 발걸음도 빨라지고 있다.
방통위는 이날 최시중 위원장 주재로 ’DDoS 공격 대응을 위한 방통위-정보통신서비스제공자(ISP) 사장단 회의’를 열고 KT 등 ISP에 좀비 PC의 제한적 인터넷 접속 차단을 요청했다. 이는 방통위가 좀비 PC 이용자에 대한 서비스 접속 차단을 강제할 수는 없지만 ISP의 경우 이용약관에 의거해 필요할 경우 사용자들의 인터넷 서비스를 차단할 수 있기 때문이다.
이에 따라 각 사업자의 판단에 따라 다수가 이용하는 PC방이나 다중이용시설에 위치한 PC에 대해서 제한적으로 서비스를 차단하는 방안을 검토해달라고 방통위는 요청했다.
정부는 또 이날 오후 세종로 중앙청사에서 권태신 국무총리실장 주재로 관계부처 긴급 차관회의를 열고 DDoS 등 사이버 테러 대책과 관련해 공공기관 인터넷망에 트래픽을 분산시키는 장비를 도입키로 했다.
현재 17개 공공분야 가운데 디도스 대응시스템이 구축된 분야는 행정, 통신, 금융 등 3개 분야에 불과하며, 국토해양, 국세, 국방, 외교, 경찰 등 5개 분야는 대응시스템을 구축 중이다.
정부는 이와 함께 국회에 산발적으로 제출된 사이버 보안관련 법률안을 종합적으로 검토해 정부의 추진방향을 반영한 통일된 법 개정을 추진키로 했다.
또 사이버 공격 등 위기 발생 때는 재난방송처럼 동시에 다수 국민에게 경보할 수 있는 법적 근거를 마련키로 했으며, 공공기관에서는 컴퓨터를 켜면 자동으로 백신프로그램이 설치되고 악성코드를 검색하도록 전산시스템도 개선키로 했다.
◇통신사들도 일제히 대응책 쏟아내=DDoS 공격에 의한 초유의 사이버테러가 발생하자 KT, SK브로드밴드, LG데이콤 등 주요 ISP도 일제히 대응책을 쏟아내고 있다. 각 ISP 사업자들은 DDoS 공격에 악용된 악성코드 감염 PC를 사용하는 가입자에 대해 백신프로그램 업그레이드 및 치료를 적극 안내하고 비상대책반을 구성, 악성코드 분석 작업을 벌이는 등 대응책 마련에 부심하고 있다. KT는 먼저 8일 오후 7시30분부터 악성코드 감염 PC를 사용하는 8천590명의 고객에게 인터넷 연결 시 팝업 공지사항을 띄우고 안내에 따라 KT의 무료백신프로그램인 쿡(QOOK)닥터를 설치해 치료토록 했다. 감염PC 고객에 대해서는 또 전화연락을 취해 백신 치료 조치를 취해줄 것을 요청하는 한편 상황에 따라 IT서포터즈 400명, 현장요원 7천700명을 동원, 직접 방문을 통해 백신 업그레이드를 지원할 계획이다. SK브로드밴드도 2차 DDoS 공격이 있었던 8일 오후 6시부터 악성코드 감염 PC를 보유한 6천여명의 고객을 대상으로 텔레마케팅을 실시해 백신검사, 마이크로소프트(MS) 윈도 운영체제를 업데이트해줄 것을 요청했고, 비상대책반을 구성한 LG데이콤은 고객 네트워크에 대한 모니터링을 강화하고 이상 트래픽이 발생하는 경우 고객에게 즉각 통보해 신속하게 대응할 수 있도록 했다.
다만 ISP 사업자는 아직 방통위 측이 요청한 좀비 PC의 IP 차단 여부에 대해서는 최종 방침을 결정하지 못한 채 내부 논의 및 방통위와의 협의를 진행하고 있다.
◇당국 좀비 PC 분석해 진원지 추적=경찰은 좀비 PC를 수거해 진원지 추적에 나서고 있다.
경찰청 사이버테러대응센터는 이날 오전 1차 공격에 이용된 4대와 2차 공격에 동원된 2대의 좀비 PC를 확보해 교차 분석에 들어갔다.
경찰은 피해 사이트의 로그기록 확보에 나서 1차 피해 사이트인 네이버, 농협, 외환은행, 조선일보와 2차 공격 사이트인 국민은행, 하나은행에서 관련 기록을 넘겨받아 좀비 PC의 행방을 찾고 있다.
이를 통해 경찰은 이번 공격에 동원된 좀비 PC는 1차 공격은 2만3천대, 2차는 1만6천대로 추산했다.
한국정보보호진흥원(KISA) 인터넷침해사고대응센터 역시 제작 또는 유포자 추적에 나서고 있다.
그러나 이번 악성코드는 DDoS 공격을 수행하도록 명령제어하는 C&C 서버가 없는 신종 방식이어서 좀비 PC의 분석을 통해 악성코드가 심어진 사이트를 직접 찾아야 하는 어려움 때문에 수사에 난관이 예상된다. 실제 보안업계에서도 이번 사태의 배후를 찾기는 사실상 어렵지 않느냐는 분석을 내놓고 있다.
A보안업체의 한 관계자는 “기술적으로 이번 사태의 배후를 찾을 수 있는지부터가 의문”이라며 “이번 공격은 기법상 추적이 사실상 불가능하다”고 말했다.
B보안업체 관계자는 “이번과 같은 대규모 범행을 저지른 집단이 IP 흔적을 그대로 남겼다는 것은 상식 이하의 추측”이라면서 “적어도 범인을 지목하려면 제어 서버의 소재와 관리자라도 파악해야 하지만 이마저 사실상 불가능에 가까운 일”이라고 지적했다.
이에 따라 이번 사태가 언제까지 이어질지, 배후를 찾을 수 있을지에 관심이 쏠리고 있는 상황이다.
[연합뉴스]