다시 터진 디도스 공격 누가 왜?

다시 터진 디도스 공격 누가 왜?

입력 2011-03-04 00:00
수정 2011-03-04 13:26
  • 기사 읽어주기
    다시듣기
  • 글씨 크기 조절
  • 댓글
    0
2009년 7.7 분산서비스거부(디도스:DDoS) 공격 대란이 발생한 지 1년 8개월 만에 청와대 등 주요 웹사이트를 중심으로 디도스 공격이 다시 발생하면서 범행의 배후와 의도에 관심이 쏠리고 있다.

악성코드가 유포된 경로는 국내 P2P 사이트인 쉐어박스인 것으로 밝혀졌지만 누가 어떤 의도로 디도스 공격을 시도했는지는 아직 파악되지 않고 있다.

업계는 디도스 수법 특성상 이른바 좀비PC를 통해 공격이 가해진다는 점, 7.7 대란 당시와 마찬가지로 금전이나 특정 목적이 없다는 점에서 이번에도 범인을 찾기는 쉽지 않을 것으로 전망하고 있다.

◇ 청와대 등 40개 기관 동시 다발 공격 = 4일 정부와 보안업계에 따르면 청와대와 외교통상부, 국가정보원 등 국가기관과 국민은행 등 금융기관, 네이버 등 주요 인터넷기업 웹사이트에 대한 디도스 공격이 발생한 시점은 이날 오전 10시께다.

공격은 사이트에 따라 수십분간 지속됐으나 대부분의 사이트는 곧 정상으로 돌아갔다.

디도스 공격의 특성상 악성코드에 유포된 좀비PC는 명령에 따라 움직이게 되는데, 이날 오후 6시 30분을 기해 2차 공격이 예정돼 있어 아직 안심하기는 이르다는 지적이다.

현재 악성코드가 유포된 경로는 국내 P2P 사이트인 쉐어박스인 것으로 밝혀졌지만 누가 어떤 의도로 해킹을 시도했는지는 파악되지 않고 있다.

공격자는 이들 사이트를 해킹해 쉐어박스 업데이트 파일에 악성코드를 삽입해 지난 3일 오전 7∼9시에 유포한 것으로 추정된다.

방통위 관계자는 “현재 28개의 유포 명령 사이트를 찾았다”고 설명했다.

방통위에서는 이번에 감염된 좀비PC의 수는 2009년 7월 공격 당시의 11만5천대에 비해 소규모인 720여대라고 밝혔다.

그러나 안철수연구소가 파악한 바에 따르면 V3 이용자 중 악성코드에 유포돼 이번 공격에 동원된 좀비PC의 수는 4천300대 정도로 추정되고 있다.

현재 국내 V3 이용자가 1천800만명 수준이라는 것을 감안하면 실제 좀비PC의 수는 이보다 훨씬 더 많을 것으로 보인다.

7.7 대란 당시에는 공격을 유발한 해킹세력, 또는 해커는 영국의 마스터 IP에 악성코드를 심어놓은 것을 시작으로 한국과 미국의 주요 정부기관과 기업을 상대로 3단계 디도스 공격을 가한 바 있다.

7.7 디도스 대란 공격자는 마스터 IP에 이어 전 세계 수십개국 125개 숙주 사이트를 매개체로 삼아 악성코드를 전 세계 16만6천908대의 좀비PC(IP 기준)에 심은 다음 한국과 미국에 동시 다발적 디도스 공격을 퍼부었다.

◇ 디도스 공격 왜 발생하나 = 디도스는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.

정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.

디도스 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포해 이 프로그램에 감염된 좀비 PC는 표적 사이트에 반복적으로 접속하게 된다.

2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 디도스 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인에게 알려지기 시작했다.

2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 디도스 방법으로 마비시키는 웜바이러스 ‘코드레드’의 변종 ‘코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.

코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.

2003년 1월에는 디도스가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발해 사실상 인터넷 대란이 발생했다.

2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 디도스 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.

이어 2009년 7월 7일 청와대 등 11개 국내 주요 사이트와 미국 백악관, 국무부 등 14개 사이트에서 디도스 공격이 발생하면서 국내외에 디도스 공격의 위험성을 알린 바 있다.

지난해 6월에도 중국발로 추정된 디도스 공격이 청와대와 외교통상부 등 정부기관과 슈퍼주니어 홈페이지 등을 대상으로 가해졌다.

◇ 7.7 대란과의 유사점은 = 통상 디도스 공격은 특정 사이트 한두 곳을 대상으로 공격, 금전을 요구하는 경우가 많지만 7.7 디도스 대란 이후부터는 금전보다는 사이버 테러를 목적으로 공격을 가하는 경향이 나타나고 있다.

실제 7.7 대란 당시 해커는 국내외 여러 중요 국가기관과 기업체의 사이트를 마비시키고도 아무런 의도를 노출하지 않았다.

청와대 등 주요 정부기관을 대상으로 삼은 것을 비춰볼 때 금전적 목적이 아닌 다른 의도가 있을 것이라는 추측 정도만 가능했을 뿐 실제 해커나 배후 세력은 밝혀지지 않았다.

이날 발생한 디도스 공격은 청와대와 정부기관, 금융기관, 인터넷기업 사이트 등을 동시다발적으로 대상으로 한 데다 배후와 의도가 밝혀지지 않았다는 점에서 7.7 대란과 유사성을 띠고 있다.

다만 국내외 숙주사이트를 이용해 국내뿐 아니라 해외에서도 좀비PC를 육성해 한국과 미국의 웹사이트를 동시 공격한 7.7 대란과는 달리 이번에는 아직 해외에서의 공격은 보고되지 않았다.

업계에서는 디도스라는 수법 특성상 7.7 대란과 마찬가지로 이번에도 범인을 찾기 쉽지 않을 것으로 보고 있다.

해커들이 대규모 공격을 위해 자신의 PC를 사용하는 것이 아니라 악성코드를 유포해 이에 감염된 불특정다수의 좀비PC들이 공격을 감행하기 때문이다.

실제로 지금까지 디도스 테러의 범인이 잡힌 경우는 거의 없었으며, 그나마 잡혔다 하더라도 기술적인 이유라기보다는 금품을 요구하는 과정에서 덜미를 잡힌 경우였다.

◇좀비 PC 진단과 예방은 = 일단 디도스 공격은 악성코드에 감염된 좀비PC를 활용해 특정 웹사이트를 공격하는 만큼 개인과 기업들이 자신의 PC가 좀비PC로 악용되고 있는지 여부를 진단해 악성코드를 제거해야만 추가 피해를 막을 수 있다.

해커는 디도스 공격을 위한 거점으로 활용하기 위해 일반 사용자의 PC에 원격 조종을 위한 악성코드를 심어 좀비PC로 만드는데, 악성코드의 파일용량이 수십 KB에 불과해 이용자는 감염이 되더라도 평소와 큰 차이를 느끼지 못한다.

웹서핑이나 동영상 보기를 해도 속도 면에서도 별다른 점을 못 느끼기 때문에 오랜 시간 자신의 PC가 좀비PC로 악용되더라도 모르고 지내는 게 대다수다.

하지만 다른 사이트를 공격하는 데 활용될 뿐 아니라 스팸메일 발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치 등 2차 피해에 노출되기 쉬워 반드시 상시적인 진단이 필요하다.

결국 피해 여부를 확인하려면 백신 프로그램을 설치한 뒤 상시적으로 감염 상태를 진단해 악성코드를 제거하는 것만이 유일한 해결책이다.

이날 디도스 공격을 유발한 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다.

안철수연구소는 긴급 전용백신(www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 온라인에서 무료로 제공하고 있어 개인 및 기업 이용자들은 이를 통해 자신의 PC를 점검할 수 있다.

무엇보다도 평소 좀비PC를 예방하기 위한 이용자 스스로의 노력이 중요하다.

안철수연구소는 좀비PC를 예방하기 위한 방법으로 ▲윈도 운영체제, 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용할 것 ▲통합보안 소프트웨어를 설치할 것 ▲이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의할 것 ▲페이스북, 트위터 등 소셜 네트워크 서비스(SNS) 이용 시 잘 모르는 사람의 페이지에서 함부로 단축 URL을 클릭하지 말 것을 당부했다.

아울러 SNS나 온라인 게임, 이메일의 비밀번호를 8자리 이상으로 설정하고 최소 3개월 주기로 변경해야 하며 웹 서핑 시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 ‘예’를 클릭해야 한다고 조언했다.

P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용하고 정품 소프트웨어를 사용해야만 좀비PC로 감염되는 것을 막을 수 있다.

연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
close button
많이 본 뉴스
1 / 3
광고삭제
광고삭제
위로