7·7 분산서비스거부(DDoS)와 3·3 DDoS, 농협 전산망 마비 사고, 네이트·싸이월드 개인정보 3500만건 유출 사고의 공통점은 무엇일까. 악성코드에 감염된 좀비PC가 일으킨 사건이다.
좀비PC는 로봇과 같이 스스로 움직이지 못하나 명령자의 명령에 의해 원격에서 제어·실행이 가능한 프로그램 또는 코드를 말한다. 운용체계 취약점과 비밀 번호 취약점, 웜 바이러스의 백도어 등을 이용해 전파된다. 좀비PC에 감염되면 스팸메일 전송이나 DDoS 공격에 악용된다.
하지만 좀비PC는 더 이상 해석이 필요한 전문용어가 아니다. 웹하드를 자주 이용하는 누리꾼만 감염되는 것도 아니다.
웹하드 사이트에서 자료나 동영상을 내려받을 때도 감염될 수 있고 이메일 첨부파일과 트위터 URL, 페이스북 담벼락 등을 클릭해도 좀비PC가 될 수 있다. 사용자가 많이 몰리는 인터넷 사이트 어디를 가든 방문만 해도 악성코드에 감염, 좀비PC가 되는 세상이 됐다.
안철수연구소 조사에 의하면 국내 접속자가 많은 상위 500개 웹 사이트 중 절반 이상인 272개(54.4%)가 악성코드를 유포하고 있는 것으로 나타났다. 특히 사용자가 많은 인기 사이트일수록 악성코드를 많이 유포하는 것으로 조사됐다.
한국인터넷진흥원(이하 KISA)도 지난 한달 주말동안 국내 160여개 웹하드 업체를 모니터링한 결과, 금요일 밤부터 일요일 새벽까지 평균 10개 이상의 웹하드 사이트가 악성코드 유포에 악용되고 있다고 밝힌 바 있다. KISA 조사에 따르면 악성코드가 은닉된 홈페이지는 지난해 전체 6500건에서 올해 6월까지 벌써 5900건으로 나타났다. 악성코드가 은닉된 홈페이지 1개는 수백~수만대의 좀비PC를 생성해낼 수 있다는 것이다.
심지어 네이트·싸이월드 악성코드 유포에 백신회사인 이스트소프트의 알툴즈 취약점이 악용됐다. 백신회사조차 믿을 수 없는 형편이다.
이처럼 악성코드로부터 자유로울 수 없다면 어떻게 해야 내 PC가 좀비가 되는 것을 막을 수 있을까. 방법은 좀비 PC 방지솔루션을 사용하는 것이다.
좀비PC에 대한 보안은 대부분 백신에 의존했다. 하지만 백신은 패턴(Patten) 기반의 방식을 이용해 악성코드 공격을 차단해 좀비PC에 대한 공격이 일어난 후에야 대처 방안이 나오게 된다.
좀비PC 방지솔루션은 이런 백신의 단점을 없애고 PC에서 일어나는 모든 봇(Bot)의 활동을 감시, 행위발생과 관련된 근원을 역추적하는 방식을 이용해 좀비 행위를 찾아냄으로 패턴이 없거나 변형된 형태의 봇도 즉각적으로 탐지, 치료할 수 있게 한다.
조시행 안철수연구소 상무는 “좀비PC는 새로운 이슈가 아니라 기존 악성 파일 기반의 보안위협이 진화돼 DDoS, 기업정보유출 등 통합적인 보안 위협의 양상을 보이고 있다”며 “특히 최근 금융권, 대형 포털 등에서 발생하고 있는 공격 형태인 지능형 지속가능 위협(APT)에 대응하기 위해 전통적인 패킷 기반의 단일 제품이 아닌 네트워크 패킷과 클라이언트 PC 파일 기반 분석이 동시에 수행되는 좀비PC 방지 솔루션 등이 필요하다”고 설명했다.
좀비PC에 관련된 각종 보안 사고가 발생한 가운데 관련 업계는 좀비PC 방지 솔루션을 서둘러 쏟아내고 있다.
이미 지난해 행안부·교과부 등의 좀비PC 방어 프로젝트를 수주한 외산 트렌드마이크로가 공공 분야 수주에서 앞서가는 양상이다. 이를 바싹 뒤쫓아 올 초 안철수연구소와 윈스테크넷, 파이오링크, 엔피코어, 루멘소프트, 이세정보통신 등 국내 업체들이 잇따라 좀비PC 방지 솔루션을 발표했다. 국내 업체는 국제공통평가기준(CC)인증을 바탕으로 공공과 금융 시장을 정조준하고 있다.
관련 업계는 좀비PC 방지법 등으로 날개를 달면 올해 적게는 150억~200억원, 많게는 300억원 이상의 관련 시장이 형성될 것으로 전망하고 있다. 김대연 윈스테크넷 사장은 “각종 보안사고와 좀비PC 방지법 이슈에 따라 DDoS 대응 제품과 좀비PC 방지 제품에 대한 문의가 기존 대비 30~40% 이상 늘었다”고 말했다.
전문가들은 사이버공격의 패러다임이 변화하고 공격의 수위가 높아져가고 있기 때문에 좀비 PC를 방어하기 위한 솔루션 및 정책은 반드시 필요하다고 지적한다.
임종인 고려대학교 정보보호대학원 교수는 “농협 전산망 마비 사건, 네이트·싸이월드 해킹사고 등에서 보여지듯이 방치된 좀비PC가 한 회사의 운명을 결정지을만한 큰 위협이 될 수 있다”고 지적했다.
최근 본지에서 직접 시연한 바에 따르면 단 10대의 좀비PC만으로 웬만한 중소기업에서 사용하는 100Mbp급 회선을 마비시킬 수 있음이 드러났다. 불과 10대의 좀비 PC가 위협적인 무기가 될 수 있는 상황에서 좀비PC를 방치한다면 나 뿐만 아니라 국내 인터넷 전체를 마비시킬 수 있다.
특히 최근에는 사이버테러의 양상이 호기심에서 금전탈취로 변해, 돈을 목적으로 악성코드를 유포하는 사례가 늘었다. CNN머니의 조사에 의하면 올해 사이버범죄로 세계적으로 약 136조원의 비용이 발생했다. 좀비 PC는 국민 개인 사생활 침해는 물론이고 국가경제 및 안보 전반의 위협이라는 분석이다.
장윤정기자 linda@etnews.com
관련 통계자료 다운로드 좀비PC 사이버공격 발생 과정