3일 저녁 최초로 발생한 이른바 ‘3.3 디도스 공격’은 2차, 3차 공격이 진행되면서 공격 대상이 확대되는 등 전형적인 2009년 ‘7.7 디도스 공격’ 양상을 보일 것으로 예상된다.
특히 이번 공격에 이용된 악성코드는 감염된 좀비PC에서 ‘V3` `알약’ 등의 업데이트를 방해하도록 설계되는 등 보다 치밀하게 설계된 것으로 드러났다.
현재 정부는 700~800개의 좀비 PC가 감염된 것으로 보고 있으나 정확한 수치는 파악하지 못하고 있는 상황이다.
하지만 보안전문가들은 악성코드를 분석한 결과, 4일 오전 10시 2차 공격에 이어 이날 오전 6시30분에는 공격 대상이 추가돼 좀비PC도 크게 늘어날 것으로 우려하고 있다.
잉카인터넷 문종현 팀장은 “오늘 저녁 6시30분 3차 공격은 일반인이 퇴근해 집에서 PC를 켜기 시작하는 시점이어서 아직 파악되지 않은 좀비PC가 추가로 활성화될 가능성이 높아 공격 규모가 더욱 커질 수도 있다”고 말했다.
특히 이번 공격은 1차에서는 적은 좀비PC가 일부 사이트를 중심으로 시작되다 4일 오전 2차 공격에서는 청와대, 국회, 네이버, 다음 등 29개 사이트로 확대된 것으로 알려졌다. 또 4일 오후 6시30분에는 11개 사이트가 추가돼 공격 대상은 40개로 늘어날 전망이다.
2차 공격에서는 7.7디도스 공격 이후 장비 확충 등 대비를 해온 다음 등 일부 포털 사이트가 15~20분 가량 접속이 안 되거나 지연됐다.
이 때문에 이들 인터넷기업들은 방통위가 2차 공격에 이용된 좀비PC 700여대보다 더 많이 늘어날 것으로 예상되는 3차 공격이 고비가 될 것으로 보고 비상업무에 돌입했다.
보안전문가들은 이번 공격에는 7.7 공격때 포함되지 않아 다소 대비가 느슨한 사이트들도 포함돼 있어 3차 공격때 어려움을 겪을 것으로 예상했다. 7.7디도스 공격때에는 11만5000여대의 좀비PC가 이용됐다.
이번 공격이 7.7디도스처럼 3이 겹치는 3월3일 발생하고, 보다 진화된 악성코드를 사용한 점에서 해커가 7.7디도스 공격을 흉내냈다는 분석도 나오고 있다.
7.7 디도스 공격때에는 최종 공격때 악성코드가 좀비PC 하드디스크를 파괴하도록 설계되는 등 갈수록 진화하는 양상을 보였다. 현재 3.3디도스 1·2차 공격에 사용된 악성코드는 백신 프로그램 업데이트를 방해해 안철수연구소 등이 제공하는 전용 백신을 다운로드해야 치료가 가능하다.
한편 이번 3.3디도스 공격용 악성코드는 P2P사이트 ‘쉐어박스’를 통해 유포된 것으로 밝혀졌다.
장지영·장윤정기자 jyajang@etnews.co.kr