26일 보안 전문업체 안랩과 잉카인터넷은 일베 홈페이지에 지난 25일 청와대와 국정원, 새누리당 등의 홈페이지를 공격한 악성 스크립트가 삽입된 것으로 확인됐다고 밝혔다.
악성 스크립트를 통한 디도스 공격은 해당 스크립트가 삽입된 사이트에 불특정 이용자가 접속하면 자동으로 미리 지정해 둔 사이트로 대규모 트래픽을 발생시켜 정상적인 서비스를 방해하는 방식이다. 일베 홈페이지는 하루 평균 방문자가 20만명에 달하는 것으로 알려졌다.
안랩 관계자는 "이번 악성 스크립트(명령어)를 이용한 디도스 공격은 지금까지 국가적 대형 디도스 공격에 보고된 적이 없는 새로운 공격 방식"이라며 "이 같은 방식의 디도스 공격을 방지하기 위해서는 웹사이트 운영자들이 자신이 운영하는 웹사이트가 악성코드 유포지나 디도스 공격에 이용되는 일이 없도록 보안에 만전을 기해야 한다"고 말했다.
하지만 이번 정부기관 디도스 공격 중 정부통합전산센터 홈페이지에 대한 공격은 기존에 알려진 좀비PC를 통한 공격이 이뤄진 것으로 확인됐다. 좀비PC로의 감염은 25일 0시부터 특정 웹하드 사이트의 설치 파일 및 업데이트 파일을 통해 진행됐으며 좀비PC에 삽입된 악성코드에 정부통합전산센터의 도메인 서버를 공격하는 명령이 포함된 것으로 드러났다.
이번 해킹 공격으로 피해를 입은 대부분의 홈페이지는 25일 오후부터 복구가 이뤄졌지만 일부 홈페이지는 여전히 간헐적으로 장애가 발생하고 있는 상황이다.
정부는 미래창조과학부를 중심으로 이번 사이버테러의 원인 규명에 착수했으나 공격 주체와 구체적인 경로 등에 대해서는 추가적인 조사를 진행한 뒤 결과를 발표할 예정이다. 일각에서는 디도스 공격에 쓰인 악성코드와 암호화 알고리즘 등이 북한 해커들이 주로 사용하는 방식과 비슷해 북한 소행이 유력하다는 분석이 나오고 있다.
한편 한국인터넷진흥원(KISA)는 이번 해킹 관련 전용백신 개발을 완료해 배포 중이라고 이날 밝혔다. 하우리 이름으로 배포하고 있는 전용 백신은 KISA가 운영하는 보호나라 홈페이지(www.boho.or.kr)에서 '다운로드' 항목의 '맞춤형 전용백신' 메뉴에서 무료로 내려받을 수 있다.