서버 직접공략·백신 다운 방해 등 2009년보다 위협수위 높아져<br>모바일기기까지 감염땐 피해 심각, 좀비PC법 추진등 대책 서둘러야
지난 2009년 7ㆍ7 디도스 대란의 경험이 이번 디도스 공격의 피해를 줄였다.
4일 정부와 보안업계에 따르면 청와대와 외교통상부ㆍ국가정보원 등 국가기관과 국민은행 등 금융기관, 네이버 등 주요 인터넷기업 웹사이트에 디도스 공격이 발생했지만 대부분의 사이트는 복구돼 정상으로 돌아갔다.
2009년 7월7일 발생해 세상을 발칵 뒤집었던 사이버 대란의 충격에 대한 학습효과가 한몫했고 민관기관들의 발 빠른 대응으로 피해를 최소화한 것이 주효했다.
◇진일보하는 디도스 공격 방식=디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 좀비PC로 변해 일제히 특정 웹사이트를 공격한다. 악성코드가 유포된 경로는 국내 P2P 사이트인 '쉐어박스'와 '슈퍼다운'인 것으로 밝혀졌다. 이번 디도스 공격은 대상 사이트를 해킹해 쉐어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 악성코드는 디도스 공격 외에 V3엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC 내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.
주목할 부분은 이번에 동원된 좀비PC의 수가 2009년 11만5,000대의 10% 수준에 불과하지만 공격력은 배가 됐다는 점이다. 이전까지 디도스 공격 방식은 수많은 좀비PC를 동원해 트래픽을 대량으로 발생시켜 사이트를 무력화하는 것이었다. 이번 디도스 공격은 좀비PC가 직접적으로 서버 시스템의 부하를 일으키는 방식으로 발전했다.
공격 대상 사이트도 2009년 23개에서 이번에는 40개로 확대되는 등 위험요소가 상승일로다. 임종인 고려대 정보보호대학원 교수는 "이번 공격은 보안백신을 내려받을 수 없게 한 것이 2년 전과 다르다"고 분석했다. 디도스 공격 방식이 수시로 변형되며 위협을 가할 가능성이 얼마든지 나타날 확률이 높은 것이다.
◇선방했으나 안심은 금물=인터넷침해사고대응센터에 따르면 디도스 악성코드 신고건수가 지난해 9월 1,500여건에서 올해 1월 말에는 3,000건 가까이 육박했다. 디도스 공격 우려가 상존하고 있다는 증거다.
임 교수는 "실제 좀비PC 사용을 강제적으로 제한하는 좀비PC법을 방송통신위원회에서 강하게 추진해야 하고 사이버 방어 사령부도 강화해야 한다"면서 "보안인력도 확충하고 당정 간 협의를 통해 확실한 대책을 마련해 PC이용자들이 어려움 없이 인터넷을 이용할 수 있도록 해야 한다"고 강조했다.
전성학 안철수연구소 시큐리티 대응실장은 "디도스 공격에 대해 '관심'에서 '주의'단계로 격상, 상황을 지켜보고 있다"면서 경계심을 늦추지 않았다.
특히 앞으로 좀비PC를 넘어 스마트폰ㆍ태블릿PC 등 모바일기기를 이용한 디도스 공격이 새롭게 발생할 가능성도 적지 않다는 게 보안전문가들의 예상이다. 모바일기기까지 좀비로 전락할 경우 디도스 공격으로 인한 피해는 엄청날 것으로 전망된다.
보안업계의 한 관계자는 "이번 디도스 공격은 대체로 선방해서 막아낸 것으로 보인다"면서 "하지만 결코 방심할 수 없는 게 현실"이라고 전했다.
◇디도스(DDoSㆍDistribute Denial of Service)=여러 대의 컴퓨터를 일제히 동작시켜 특정 사이트를 공격하는 해킹 방식의 하나다. 좀비PC를 통한 디도스 공격이 시작되면 몇몇 사이트에 대한 접속이 대량으로 일어나 트래픽 과부하가 생겨 해당 사이트 접속이 어려워지거나 불가능해진다. 디도스 공격에 사용되는 좀비PC는 공격자가 유포한 특정 바이러스에 걸려 계속해서 공격목표로 삼은 사이트에 접속을 시도한다. 다만 공격에 동원되는 좀비PC의 경우 이용자들이 감염됐다는 사실을 모르는 경우가 대부분이어서 백신 등을 통한 꾸준한 예방이 필요하다.
