지난달 20일 EBS 수능강의 사이트가 분산서비스거부(DDoS) 공격을 당해 회원 5만여명이 수능강의를 제대로 받지 못하는 불편을 겪어야 했다. 일주일 후 경찰청 사이버테러대응센터에 잡힌 범인은 놀랍게도 경기도의 한 고등학교에 다니는 김모 군(17)이었다. 김 군은 인터넷 카페를 통해 악성코드를 유포해 좀비PC 1400여대를 감염시킨 뒤 두 차례에 걸쳐 EBS 홈페이지를 공격했다고 한다.
좀비PC는 원격통제가 가능한 악성코드(봇)에 감염된 PC로, 일단 봇에 감염되면 해커들의 원격명령을 받아 특정사이트에 트래픽 공격을 시도하는 DDoS 공격은 물론이고 불법 스팸메일 발송 등의 사이버 범죄에 악용된다.
물론 이 과정은 PC 사용자 모르게 일어난다. 바이러스나 웜에 감염된 PC는 직접적인 피해를 보지만 봇에 감염된 PC는 이 같은 증상이 나타나지 않아 무심코 지나가기 십상이다. 사이버 범죄자들은 사람의 심리를 이용해 악성코드를 심는 ‘사회공학적 기법’을 주로 사용한다.
관리가 제대로 안 되는 인터넷 게시판이나 소규모 인터넷 커뮤니티, 블로그 등에 동영상, 연예인 정보, 공짜 소프트웨어 등을 올려 사용자를 낚는 것이다.
일단 악성코드에 감염되어 좀비PC화 되면 사이버 범죄자들은 사용자가 시스템에서 타이핑하는 모든 내용을 기록할 수도 있고, 이메일 주소를 훔쳐 스팸 발송자에게 팔거나 다른 사용자를 공격할 수도 있다. 더욱 심각한 문제는 개인사용자 입장에서 해당 좀비PC 안에 있는 개인정보뿐만 아니라 금융정보와 같은 민감한 정보들이 그대로 유출돼 명의도용, 개인정보 불법 유통 및 광고, 보이스피싱 및 각종 금융범죄 등의 2차 피해로 이어질 수 있다는 점이다.
따라서 자신의 PC가 스팸메일 및 불법 프로그램 유포 등 각종 인터넷 범죄의 온상인 좀비PC가 되는 걸 막기 위해서는 무엇보다 자신의 PC 운용체계나 주요 프로그램의 보안패치를 최신으로 유지해야 한다.
최신 보안패치와 백신을 이용한 보안 생활화가 개인 이용자들의 몫이라면 기업 입장에서는 DDoS 공격 요소나 기타 악성코드들이 PC를 감염시키기 전에 이를 사전에 탐지하고 접근을 차단함으로써 원천적으로 좀비PC 발생을 방지하는 ‘시만텍 웹 게이트웨이’와 같은 솔루션 도입을 적극 검토해야 한다.
DDoS를 포함한 다양한 악의적 공격과 활동을 효과적으로 차단하기 위해서는 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 사전 방역과 네트워크상의 모든 트래픽을 검사해 일반적인 봇 트래픽 패턴을 탐지하고 활성 봇넷을 차단하는 한편, 감염된 PC를 즉각 격리해 사용자에게 감염 사실을 알리고 내부 확산을 방지하는 역할이 모두 중요하기 때문이다.
이처럼 선제적인 악성코드 검사와 철저한 트래픽 검사, 그리고 사후차단을 통해 사용자들은 보다 안전하게 인터넷을 사용할 수 있다. 특히 최근 신규 또는 변종 악성코드 유입이 급증하고 있는 만큼 네트워크 관문에서의 사전 방역과 유입 후 사후 차단 기능은 향후 보다 진일보한 좀비PC 방지 솔루션으로 그 인기를 더해갈 전망이다.
정경원 시만텍코리아 사장 Kyung-won_chong@symantec.com