'확전이냐 종전이냐' 주말이 갈림길

DDoS 공격 소강 국면, 이미 대응체계 갖춰

일반입력 :2009/07/11 00:59    수정: 2009/07/11 01:12

김효정·김태정

세 차례에 걸친 분산서비스거부(DDoS) 사이버테러가 소강 국면에 접어들고 있다.

이번 DDoS 공격은 특정 인터넷사이트의 접속을 방해하는 수준을 넘어, PC의 하드 디스크를 삭제하는 진화된 해킹 수법이라는 점에서 4차 공격 감행 여부에 관심이 집중되고 있다.

방송통신위원회에 따르면, 10일 이날 오후 10시 현재 한국정보보호진흥원(KISA)과 보안업체에 신고된 PC손상 관련 신고 건수는 370건. 신고는 계속 늘고 있지만 그 증가세는 예상보다 적어 다행이라는 분위기다. 적어도 3만~6만대로 추정되는 좀비PC가 무더기 마비되는 ‘대란’은 피했다는 것. 이는 DDoS를 일으킬 악성코드가 상당 부분 제거됐다는 것으로도 풀이할 수 있다.

방통위는 "PC 손상 수는 늘어가고 있지만, 그 증가율이 예상보다 크지 않은 점은 사전 예보를 통해 이용자들의 조치가 이루어지고 있는 것"이라며 "4차 공격에 대해서 아직 정황이 보이지 않지만 돌발 상황에 대비해 예의 주시하고 있다"고 말했다.

보안업계에서도 지난 3차 공격이 특별한 피해를 남기지 않았다면서, 관제시스템을 통한 모니터링과 트래픽 우회 등의 방어책이 강화됐기 때문에 실제 3차 공격에서의 피해가 예상보다 작았다.

정부 당국과 관련업계는 이번 주말이면 사이버테러가 확전될 것인지, 아니면 종전을 맞이하게 될 것인지 그 윤곽이 드러날 것으로 보고 있다.

우선 이번 사태의 배후가 밝혀지지 않은 상황에서 현재의 소강상태는 4차 공격을 위한 '숨고르기'일 가능성도 배제할 수는 없다. 또한 하드디스크 삭제 파일을 악성코드에 심어 놓는 등 기술적 진화가 두드러졌기에 방심할 수 없는 이유다.

에스지어드밴텍 최재혁 팀장은 "숙주 시스템을 찾아 진정 국면에 들어선 것은 사실이지만 안심하기는 이르다"며 "실제 악성코드 전파 경로가 파악되지 않은 이상 DDoS 4차 공격 가능성은 여전히 존재한다"고 강조했다.

그러나 방통위와 국정원 등이 3차 공격을 전후해 숙주 사이트를 차단한 점, 공격 받은 사이트들의 대응능력 강화, 긴급백신으로 PC 보안 업데이트가 증가됐기 때문에 주말을 거치면서 사태가 마무리될 가능성이 높아지고 있다.

보안칼럼니스트인 전상훈씨는 "오랜 기간의 준비를 통해 계획된 공격들의 목적은 자신감이다. 전체를 흔들 수 있다는 자신감의 표현이 해커들의 목적이다"라고 말했다. 즉 초기 대응에 실패한 정부와 한차례 흔들린 보안 및 포털업체들이 전열을 재정비 했기에 4차 공격 가능성은 낮다고 할 수 있는 것이다.

■'책임 공방'과 '배후 논란' 이어질 듯

만약 주말을 고비로 상황이 마무리 된다면, 이번 사태에 대한 책임 공방과 그 배후가 누구인지를 밝혀내는 것에 관심이 집중될 것으로 보인다.

현재 우리나라는 사이버테러에 대한 컨트롤타워가 없다 보니, KISA와 국정원, 경찰청이 혼선을 거듭하면서 DDoS 공격에 대한 정부의 늑장 대응 지적도 끊이지 않고 있다.

국정원은 이미 지난 4일 DDoS 공격 징후를 언급했지만 주무 부처인 방통위나 KISA와는 소통이 원활하지 않았다. 이에 대해 KISA의 한 관계자는 "매달 수십건의 침해 및 DDoS 사고를 접하고 있다. 당시 국정원이 지적한 징후 역시 소규모의 DDoS 공격 징후로 과도하게 신경 쓸 정도는 아니었을 것이다"이라고 말했다.

정부 당국은 지난 1~3차 DDoS 공격에 대응책을 보여주지 못한 점과 현재 시스템으로는 앞으로도 뾰족한 해결책을 찾기 힘들 것이라고 인정했다.

정부 부처의 한 관계자는 "정부 차원의 대책이 많이 부족했다. 악성코드 분석도 못했고 예산, 인력, 조직의 지원도 부족했다"고 언급했다.

이 때문에 컨트롤타워의 필요성이 대두되고 있다. 이번 사태를 통해 방통위와 국정원, 경찰청 등 관련 기관의 역할을 조율할 조직이 마련돼야 한다는 주장이 힘을 받을 것으로 보인다.

황철증 방통위 네트워크정책국장은 "정보보안 전문가와 사이버위기를 제대로 판단할 수 있는 인적자원의 확보가 중요하다"며 "현재는 컨트롤타워를 구성해도 적임자를 구하기 힘든 상황이다"라고 말했다.

그는 이어 "사이버 보안은 민간 분야와 관련이 있어 방통위가 (컨트롤타워의)독립적인 기능을 할 수 있다고 본다"고 덧붙였다.

한편, 이번 공격에 대한 배후가 미궁에 빠져들고 있어 당분간 논란이 지속될 것으로 보인다.

국정원은 정황상 이번 사이버테러가 북한 내지는 북한 추종세력이라고 추정하고 있는 상황이다. 그러나 美 국무부에서도 이러한 추정에 대해 의견이 양분돼 있고, 국내 보안업계 일각에서도 사이버테러 명령을 내린 서버가 위치한 19개국에 북한이 포함돼 있지 않다는 점을 들어 확대해석을 우려했다.

관련기사

정계에서는 이번 DDoS 공격의 배후에 대해서 이른바 '사이버 북풍'을 이슈화 삼으면서 정치공세로 이어질 조짐도 나타나고 있다.

그러나 방통위와 KISA는 10일 브리핑을 통해 "이번 DDoS 공격의 배후를 현재로서는 IP 추적만을 통해 밝혀내기 어렵고, 해커 한명의 소행인지 특정 해킹 그룹의 소행인지 조차도 짐작할 수 없는 상황"이라고 설명했다.