| 안철수연구소 연구원들이 9일 서울 여의도 보안관제센터에서 사흘째 계속되고 있는 DDoS 공격 상황을 실시간으로 모니터링하고 있다. 신상순기자 |
|
이번 7ㆍ7사이버테러에 이용된 악성코드는 게릴라처럼 매일 모습을 바꾸는 지능적인 방법을 사용하고 있어서 정부나 기업들이 대응하는 데 어려움을 겪고 있다.
이들 악성코드는 매일 공격 대상을 바꾸는데다 일단 공격 대상을 바꾸면 이전 흔적은 자동적으로 삭제되도록 설계돼 있어 진원지 추적이 사실상 불가능하다. 이에 따라 앞으로 지금까지와는 또다른 추가공격 우려도 커지고 있다.
◇하루마다 공격 대상 바꿔=이번 사이버테러의 가장 큰 특징은 공격 대상을 만 하루마다 바꾼다는 점이다. 안철수연구소는 9일 이번 분산서비스거부(DDoSㆍ디도스) 공격을 일으킨 악성코드를 분석한 결과 만 24시간마다 공격 대상 사이트를 변경하는 스케줄러(시간표) 기능이 설계돼 있는 것으로 분석됐다고 밝혔다. 안철수연구소는 이번 악성코드가 자체적으로 공격 대상 목록을 담은 파일(uregvs.nls)을 생성하는 것으로 추정했다.
분석에 따르면 지난 8일 발생했던 2차 공격은 국가정보원ㆍ파란ㆍ옥션 등 14개 사이트를 대상으로 9일 오후6시까지 진행되도록 코딩돼 있었고 3차 공격은 9일 오후6시부터 10일 오후6시까지 네이버와 다음의 e메일 사이트, 기업은행ㆍ하나은행 등을 타깃으로 삼도록 했다.
이에 따라 ▲네이버 ▲옥션은 세 차례 연속 사이버테러의 희생양이 됐고 1차 대상이었던 ▲조선닷컴 ▲정부 통합민원처리사이트 ▲파란 등도 재차 공격을 받았다.
공격에 이용됐던 좀비PC도 1차와 2차가 서로 달랐지만 2차와 3차 때는 같은 PC가 사용됐다. 이는 그만큼 공격 루트가 다양해지면서 예방을 하기 힘들게 했다는 것이다. ‘매우 지능적’이라는 분석이 나오는 것도 이 때문이다.
◇기존 흔적 자체 삭제…추적 불가능=주목할 점은 이 악성코드가 새로운 공격 대상을 찾으면서 기존의 기록들을 지우고 있다는 점이다.
좀비PC를 만드는 악성코드의 진원지를 찾기 위해서는 이전에 어떤 루트를 통해 업데이트가 이뤄지는지를 알아야 한다. 하지만 이번 악성코드는 업데이트가 되는 순간 이전에 있었던 기록을 삭제하기 때문에 추적이 불가능하다는 게 안철수연구소의 분석이다.
또 진원지 파악이 불가능해짐에 따라 앞으로 4차ㆍ5차 공격 등 추가 공격이 일어날 가능성이 높다는 게 업체 관계자의 설명이다. 안철수연구소의 한 관계자는 “이번 악성코드는 난이도가 상당히 높은 것”이라며 “완전히 분석을 마치고 대응하기 위해서는 상당한 시간이 걸릴 것”이라고 말해 장기화될 가능성을 내비쳤다.
더 큰 문제는 이번 공격이 다른 형태로 변화될 가능성도 있다는 점이다. 정태명 한국CPO포럼 의장은 “해커들이 이 정도로 그치려고 했다면 아예 시작도 하지 않았을 것”이라며 “앞으로 인터넷 피싱(Fishing) 등 다른 형태로 언제든 변형될 수 있기 때문에 이에 대한 대비책을 세워야 할 것”이라고 말했다.
◇좀비PC 한미 양국에서 5만대 동원=시멘텍은 한미 양국에 대한 사이버테러에 동원된 PC가 5만대 이상이라고 밝혔다. 방송통신위원회가 이날 오전 국내에서 발견된 좀비PC가 2만9,000여대라고 밝힌 점을 감안하면 아직도 2만1,000대 이상의 PC가 드러나지 않은 채 어딘가에 숨어 있다는 의미다. 업계에서는 이들 PC가 다시 한번 공격에 나설 경우 지금보다 훨씬 큰 피해가 나타날 가능성이 높다는 지적하고 있다.
이번 사이버테러의 원인을 제공했던 악성코드는 ▲‘마이둠(Mydoom)’웜의 변종인 Mydoom 88064, Mydoom 33764, Mydoom 45056.D ▲다른 악성코드를 내려받는 다운로더 ▲공격 대상 웹사이트 목록을 담은 파일 BinImage/Host ▲네트워크 트래픽을 유발하는 에이전트 들이다. 시멘텍은 이외에도 ‘w32.dozer’라는 악성코드도 이용되고 있다고 지적했다.