[100대 사건_083]7·7 분산서비스거부(DDoS) 공격 대란<2009년 7월>

지난 2009년 7월 7일 발생한 `7·7 분산서비스거부(DDoS) 공격 대란`. DDoS 공격이 무차별로 가해진 일명 `7·7 DDoS 공격 대란`은 정부기관, 은행, 포털, 언론, 쇼핑몰 등 26개 주요 인터넷 사이트를 인터넷 서비스 불능 상태로 만들어버린 사상 초유의 사이버 테러 사건이다. 이 사건에서는 전형적인 DDoS 공격 수법이 이용됐다. DDoS 공격은 악성코드에 감염된 여러 대의 PC가 한번에 특정 사이트에 접속해 트래픽 과부하를 일으키는 사이버 공격의 한 유형이다.

2009년 7월 7일 화요일 오후 6시. 청와대, 국회, 국방부, 외교통상부 등 국내 12개, 해외 14개 사이트가 한동안 마비되는 상황이 발생했다. 다음 날 같은 시각, 국가정보원, 행정안전부 등 국내 16개 사이트가 또다시 접속 불가 상태에 빠졌다. 공격을 가한 해커는 8일 벌어진 2차 공격에서 자신을 방해하는 보안 업체를 공격 타깃 대상에 포함시킬 정도로 용의주도했다. 9일 오후 6시 7개 사이트가 또다시 DDoS 공격에 당했다. 마지막으로 10일 0시 공격에 이용된 좀비 PC의 하드디스크와 데이터를 날려버렸다.

7·7 DDoS 공격 대란은 기존 DDoS 공격 방식과는 확연히 다른 양상을 보여줬다. 기존 공격은 C&C(Command & Control) 서버에서 직접 명령을 받아 공격하는 방식으로 이뤄졌다. 하지만 7·7 DDoS 공격 대란에서 사용된 방식은 PC를 감염시키는 악성코드 자체에 타이머와 공격 명령이 탑재돼 있었다. 또 좀비 PC로 이용된 개별 PC의 하드디스크 손상이라는 악성 행위까지 포함하고 있었다. 특히 악성코드 간의 협업 모델, 기존 보안 장비를 우회할 수 있는 소규모 공격, 복합형 공격 등 각종 최신 보안 위협들을 정교한 메커니즘으로 결합한 지능적인 공격이었다.

사건이 발생하자 한국인터넷진흥원, 안랩, 하우리, 잉카인터넷 등 국내 기관, 보안기업 등은 전사 긴급 대응체계에 돌입했다. 사건 발생 17시간 만에 안랩을 필두로 국내 백신 업체들은 1차 전용 백신을 무료로 제공하기 시작했다.

밤샘 분석 작업을 거쳐 악성코드를 해독한 결과 공격 스케줄러가 내장돼 있다는 사실을 밝혀냈다. 이 스케줄러에서 9일 3차 공격 대상과 시간을 정확히 알 수 있었다. 7월 9일 오후 6시 내장된 공격 스케줄러에 따라 공격이 개시됐지만 다행히 이미 예견된 상황이라 해당 사이트들의 피해를 최소화할 수 있었다.

하지만 7월 9일 상황이 종료되기 전 다시 긴장감이 돌기 시작했다. 악성코드에 좀비 PC의 하드디스크와 데이터를 손상시키는 기능이 포함돼 있었기 때문이다. 보안전문가들은 자기 파괴 기능의 타이머가 2009년 7월 10일 0시에 맞춰져 있다는 것을 밝혀냈다. 이를 막지 못한다면 좀비 PC로 이용된 수만에서 수십만대의 PC가 치명적인 손상을 입게 된다.

긴급 공지로 상황과 예방법을 알리고, 24시간 고객 대응 체계를 유지했다. 10일 0시 좀비 PC의 하드디스크가 손상되는 일이 발생했다. 하지만 제한적인 운용체계(OS)에서만 피해가 발생한다는 점과 사용자들의 사전 대비로 피해는 크지 않았다.

7·7 DDoS 공격 대란은 IT 강국으로 자부해 왔던 국내 현실을 그대로 보여주는 계기가 됐다. 알려지지 않은 사이버 테러리스트의 DDoS 공격으로 국가 주요 기관의 네트워크는 마비 상태가 됐다. 공격을 받은 쇼핑몰은 일정 시간 동안 영업이 중지돼 수십억원대의 경제적인 피해를 입었다. 쇼핑몰과 같이 직접적인 매출 피해는 아니지만 은행들의 경우 인터넷뱅킹 중지로 고객들이 큰 불편을 겪었다.

결국 7·7 DDoS 공격 대란을 계기로 사이버 테러에 대한 경각심이 고취되고, 국가 차원에서 근본적인 대책 수립이 필요하다는 인식이 확산됐다.

사고 발생 직후 행정안전부는 200억원의 예산을 긴급 편성해 `범정부 DDoS 공격 대응 체계`를 구축했다. 또 방송통신위원회와 한국인터넷진흥원은 `영세 기업을 위한 DDoS 공격 사이버 긴급대피소 구축 사업` `인터넷망 연동 구간 DDoS 공격 대응 체계 구축 3차 사업` `좀비 PC 치료 체계 시범 구축 사업` 등을 추진 중이다. 금융권에서도 금융감독원의 `DDoS 공격 대응 종합 대책` 금융결제원 금융정보보호센터 `DDoS 공격 대피소 구축` 등 공동 대응책을 마련했다.

이와 같은 대응 노력 덕분에 2011년 발생한 3·4 DDoS 공격을 무난히 막아낼 수 있었다.

그러나 무엇보다 중요한 것은 사용자의 보안 인식이 높아졌다는 점이다. 개인은 자신이 DDoS 공격의 피해자가 아닌 가해자가 될 수 있다는 인식을 하고 자기 PC의 보안 관리를 시작했다. DDoS 공격 특성상 예방이 힘든 만큼 공격에 악용되는 좀비 PC 수를 줄이는 것이 가장 현실적인 대책이기 때문이다.

하지만 7·7 DDoS 공격 악몽은 언제든지 재현될 수 있다. 사이버 공격은 더욱 심화되고 치밀해져가고 있다. DDoS 공격 툴은 인터넷에서 쉽게 구할 수 있고 중·고등학생도 사용할 수 있을 만큼 간단해지고 있다. DDoS 공격을 방어하기 위해서는 정부, 기업, 사용자 모두의 투자와 노력이 끊임없이 지속돼야 한다.

[표] 7.7 DDoS 공격 대란 사건일지

1차 공격(2009. 7. 7)

-오후 6시부터 24시간 동안 청와대, 국방부, 국회, 국가정보원 및 국내 주요 언론사 공격, 전 사이트 접속불가. 안랩·이스트소프트 등 전용백신 배포. 국정원 사이버 위기 경보단계 `주의` 발령

2차 공격(2009. 7. 8)

-오후 6시부터 24시간 동안 1차 공격의 변종 악성코드를 이용해 네이버·야후 등 16개 주요 포털사이트와 메일서비스 공격.

3차 공격(2009. 7. 9)

-오후 6시부터 네이버·다음·옥션·국민은행 등 7개 사이트 공격. 국정원과 금융사이트세 3시간 만에 일부 정상화.

(자료: 안랩)

◆ 김홍선 안랩 사장

“보안 위협에 지속적으로 대처하기 위해서는 공공 부문, 기업 부문, 개인 등 사용자 부문 모두의 인식 전환이 급선무다. 보안은 비용이 아니라 리스크에 대비하는 투자로 봐야 한다.”

지난 2009년 7·7 DDoS 공격을 비롯해 2011년 발생한 3·4 DDoS 공격까지 대한민국이 성공적으로 DDoS 공격을 방어한 배후에는 안랩의 노력이 있었다. DDoS 공격을 분석, 대안을 제시했으며 2년 후 발생한 3·4 DDoS 공격을 가장 먼저 알아내 피해를 최소화하는 데 일조했다.

김홍선 안랩 사장은 “7·7 DDoS 공격은 새로운 형태는 아니었다”며 “사용자의 PC에 악성코드를 감염시켜서 그 PC를 공격 무기로 바꾸는 것”이라고 설명했다.

그는 “7·7 DDoS 공격의 특징은 첫째, 여러 개의 대형 사이트를 동시 다발적으로 공격했고, 둘째, 24시간 단위로 타깃을 바꾸었으며, 셋째, 공격을 마친 후 특정 조건의 행위가 발생하면 자폭하도록 했고, 넷째, 공격의 의도를 아직도 모른다는 점”이라고 설명했다. 특정 기업을 상대로 금융 갈취를 목적으로 한 DDoS 공격과는 달랐다. 워낙 사회적인 파급이 크다 보니 PC가 가해자가 될 수 있다는 사실을 일반인도 깨닫는 계기가 됐다.

당시 7·7 DDoS 공격으로 인한 피해가 컸던 이유로 김 사장은 열악한 보안 투자를 꼽았다.

그는 “보안 사고는 어떤 형태로 발생할지 예측하기 쉽지 않아서 IT 인프라 투자 대비 보안 투자가 균형을 이뤄야 고른 대비를 할 수 있다”며 “미국, 일본은 10년 전부터 IT 전체 예산의 10% 정도를 보안에 투자한다. 그러나 IT 강국이라는 우리는 그 절반 수준”이라고 꼬집었다.

특히 김 사장은 IT 인프라를 구축하는 과정에서 SI-하도급업체 구조로 낮은 단가에 단시일에 구축하는 것도 보안 사고를 키우는 요인이라고 지적했다.

김 사장은 “우리나라는 세계적인 인터넷 인프라를 갖추었으나 보안에 대한 투자와 인식은 후진국 수준이고 이는 2009년이나 지금이나 큰 차이가 없다”고 지적했다.

그러나 김 사장은 7·7 DDoS 공격 이후 일반 사용자의 인식이 전환된 것은 큰 성과라고 꼽았다.

그는 “인터넷 환경에서는 한 사람의 초보자가 전체 조직의 보안 수준을 결정한다는 것, 사용자 전체가 자발적으로 참여하지 않으면 국가 전체의 사이버 안전을 보장할 수 없다는 공감대가 형성됐다”고 말했다. 특히 7·7 DDoS 공격으로 보안 전문가가 절대적으로 부족하다는 것이 드러났다. 정보보안 전문가 양성이 시급하다는 공감대가 형성되고 학계나 업계가 적극적으로 노력하게 되는 계기가 됐다고 평가했다.

김 사장은 “보안은 비용이 아니라 리스크에 대비하는 투자로 봐야 한다”며 “IT 실행 주체와 전문적인 보안 기술 역량을 가진 전문 업체의 긴밀한 협력 관계가 필요하다”고 목소리를 높였다.

장윤정기자 linda@etnews.com