대한민국이 분산서비스거부(DDoS) 공포에 휩싸였다. 7.7대란 이 후, 1년 8개월만에 다시 악몽이 되살아났다. 지난 4일 오전10시 청와대, 국가정보원을 비롯한 29개 웹사이트를 공격대상으로 한 1차 DDoS공격을 시작으로 국가 비상사태에 돌입했다.
오후 6시30분 2차 공격도 예고됐다. 공격대상 웹사이트는 1차보다 11개 더 많은 40개 웹사이트. 공격을 앞두고 확인된 좀비PC숫자만 2만1천여개에 달했다. 또, 방송통신위원회는 긴급 브리핑에서 2차 공격 이후 PC감염을 확인했을 땐 기존백신이 무용지물이기 때문에 주의가 필요하다고 밝히면서 사용자 불안감은 더욱 증폭됐다.
하지만 이런 우려와는 달리 정부는 이 날 저녁 8시30분 예고됐던 2차 DDoS공격에 실질적인 장애는 없었던 것으로 파악됐다고 공식 상황을 발표했다.
그렇더라도 5일 오전 10시45분에도 29개 웹사이트를 대상으로 3차 공격이 있을 것으로 분석돼 긴장을 늦출 수는 없는 상황이다.
■악성코드 유포지는 P2P…좀비PC 2만1천개
이번 DDoS를 유발한 악성코드는 국내 P2P사이트인 셰어박스와 슈퍼다운을 통해 유포됐다. 공격자가 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입한 것이다. 관련기관들은 유포 시점을 지난 3일 오전 7시에서 9시 사이로 추정하고 있다.
관련 업계는 이번 DDoS공격용 악성코드 중 일부가 하드 디스크를 손상시키고 데이터를 파괴하는 등 개인PC에 치명적인 손상을 일으킬 수 있는 것으로 확인됐다고 밝혔다. 차후 문제점이 더욱 우려된다는 얘기다.
한국인터넷진흥원(KISA)은 좀비PC수도 오전 1만1천개에서 오후에는 2만1천개로 늘어났다고 밝혔다. 방통위와 KISA는 좀비PC가 하드디스크를 파괴하는 등 2차 피해도 예상되기 때문에 더욱 문제라고 지적했다.
KISA는 이번 디도스 공격도 지난 7.7대란과 유사한 형태를 보이고 있다며 이용자PC가 악성코드에 감염된 경우, 감염시점을 기준으로 4일 또는 7일째 되는 날 스스로 하드디스크를 파괴시키는 행동을 하는 것으로 분석된다고 설명했다.
■웹하드 업체 '보안불감증'이 부른 대참사?
4일 발생한 DDoS공격을 키운 것은 웹하드업체의 '보안불감증'이었다. 무료로 보안검사를 해주겠다는 정부제의를 웹하드 업체들이 무시했던 것으로 드러났다.
방통위는 4일 긴급브리핑에서 DDoS 상황을 예방할 수 없었냐는 질의에 대해 이 같은 상황을 설명했다. 박철순 방통위 네트워크정보보호팀장은 웹하드 취약성이 높다는 이야기는 KISA에서 먼저 이야기가 나왔고, 무료로 보안검사를 해주겠다고 권고하기도 했다라며 하지만 응하는 업체가 없었고 결국 문제가 발생하게 된 것이라고 말했다.
보안업체 관계자들은 웹하드 서비스는 불법 파일 다운로드 과정뿐 아니라 사이트 자체에도 보안에 취약하다고 지적되어 왔다며 때문에 빈번한 악성코드 감염 경로로 활용되어 왔고, 웹하드 업체들이 '그리드 딜리버리 솔루션'을 사용하고 있어 더욱 문제라고 지적했다.
'그리드 딜리버리' 기술은 네트워크에 접속된 사용자 컴퓨터 간에 데이터를 주고받게 해 하나의 콘텐츠를 다수가 사용할 수 있도록 하는 것이다. 이 솔루션은 개인정보나 시스템정보를 조정하는 과정에서 해킹 취약성이 나타난다.
■3.3 DDoS공격 대응력 뛰어나…
관련업계들은 이번 공격에 이미 구축된 DDoS대응체계로 비교적 순조롭게 방어가 이뤄졌다는 평가다. 7.7대란의 학습효과가 크다는 얘기도 들린다.
방통위는 지난 3일 오전 7시50분 청와대와 국방부 등 국가 공공기관 홈페이지에서 DDoS공격을 탐지해 국내 유관기관과 함께 비상대응체제를 가동했다고 밝혔다.
4일 오전 10시와 오후 6시30분, 그리고 5일 10시 45분 추가공격까지 사전예측해 발빠르게 대처할 수 있었다. 정부는 대부분 이용자가 사용하는 국내 주요 인터넷 서비스 제공자(ISP)에게도 이번 공격에 대응할 수 있도록 조치를 취했다. 네이버, 다음 등 민간분야와 금융기관 등에도 협조를 구해 대응책도 함께 마련해 실시간 공격 차단체계를 유지했다.
발빠른 보안업체 및 기관들의 대응력도 빛났다. 안철수연구소, 하우리 등 백신업체들은 비상대응체제를 가동하고 있다. 뿐만 아니라 DDoS공격을 유발하는 악성코드 전용 백신을 개발해 무료 배포중이다. KISA도 사이버치료체계인 보호나라를 통해 전용백신을 설치하도록 사용자들을 장려하고, 패턴분석 등으로 발빠르게 대응했다.
■내PC '좀비'되지 않게 지키려면…
일반PC가 DDoS공격에 이용되는 만큼, 사용자들의 주의가 필요하다. 특히,이번 공격은 지난 7.7대란과 달리 악성코드가 백신 프로그램의 업데이트를 방해한다. 인터넷 주소 호스트 파일을 변조해 업데이트를 방해하는 것이다. 뿐만 아니라 PC내 문서 및 소스파일을 임의로 압축하는 증상도 함께 나타나기 때문에 더욱 주의가 요망된다.
먼저, 자신의 컴퓨터가 디도스 악성코드에 감염됐는지는 간단히 백신으로 진단할 수 있다. 안연구소는 이번 디도스 공격을 유발한 악성코드를 진단ㆍ치료할 수 있는 전용 백신을 개발해 무료로 배포하고 있다. 관련 기업이나 기관도 무료로 전용 백신을 다운로드해 쓸 수 있다.
이밖에도 KISA에서 운영하는 보호나라 홈페이지(www.boho.or.kr)를 방문하거나 KISA의 e콜센터(국번 없이 118)에 전화해 전문 상담직원의 도움을 받을 수 있다.
관련기사
- 29개 웹사이트 대상 DDoS 3차공격…"피해 없어"2011.03.05
- DDoS 2차 공격…정부 "잘 막았다"2011.03.05
- 안랩 "좀비PC 주의"…전용 백신 배포2011.03.05
- 방통위, "웹하드 업체들, 디도스 보안권고 무시"2011.03.05
지금까지는 잘 대처해왔다. 하지만 5일 오전 10시45분에 3차 공격이 재개될 것으로 보여 안심할 수 만은 없는 상황이다. 특히, 좀비PC는 일정 시간 후 스스로 하드디스크를 파괴하는 것으로 알려져 사용자들의 지속적인 주의가 필요하다.
보안업체 관계자는 현재 24시간 비상대응체제를 유지하고 있다며 PC사용자들도 익명의 파일이나 P2P사이트는 이용을 자제해 줄 것을 당부했다.