(사이버테러)①`디도스 공격`이 남긴 상처

[이데일리 유환구기자] 온 나라를 뒤흔들었던 디도스(DDoS:분산서비스거부) 공격이 발생 5일만에 사실상 종결 국면에 접어들었다.

지난 주말을 지나면서 공격 대상이 됐던 사이트들의 트래픽이 정상화됐으며, 4차 공격이 나타날 징후는 감지되지 않고 있다.

하지만 여전히 이번 사태의 원인은 오리무중이다. 누가 어떤 의도로 사이버 공격을 감행했는지 밝혀지지 않고 있으며, 앞으로 드러날 가능성에 대해서도 파악이 되지 않고 있다.

결국 제대로 된 준비를 하지 않으면 언제든 더 큰 위험이 닥칠 수 있다는 얘기다. 이번 사태를 되짚어보며 재발 방지를 위해 필요한 것이 무엇인지를 점검해 봐야 할 때다.


◇3차에 걸친 치밀한 공격..좀비PC `8만대` 

안철수연구소(053800)에 따르면 이번 디도스 공격의 고객문의가 최초 접수된 시각은 지난 6일 오후 1시24분.

그로부터 하루가 지난 7일 오후 6시에 1차 공격 시도가 시작됐다. 국내 주요 정부기관과 언론사이트 26개가 대상이었다.

이로 인해 민원과 행정서비스에 장애가 발생했고, 일부 포털사이트들의 이메일서비스와 금융기관의 인터넷뱅킹이 마비되면서 이용자들이 큰 불편을 겪었다.

1차 공격은 약 24시간 후 종료됐지만 8일 오후 6시에는 또 다른 변종 악성코드를 통한 2차 공격이 발생했다. 이번에는 안철수 연구소 등 보안사이트도 공격 대상에 포함돼 대응을 무력화하려는 의도라는 해석을 낳았다.

공격 대상이 된 사이트들이 대응력을 갖춰가고 전용백신 배포로 `좀비PC` 확산이 잦아들 무렵 3차 공격 징후가 포착됐다.

안철수연구소는 분석을 통해 디도스 공격 24시간 단위로 공격 설계됐다고 밝히고 9일 6시부터 3차공격이 시작된다고 예상했다. 네이버 e메일· 다음 e메일· 파란 e메일, 국민은행· 조선닷컴· 전자민원(G4C), 옥션 등 7개 사이트 공격 타깃이었다.

9일 밤부터 사태는 새로운 양상으로 번져갔다. `좀비PC`의 하드디스크 손상 사례들이 속속 접수된 것. 사이버 공격의 다음 명령어는 `자폭`이었던 것이다.

방송통신위원회는 좀비PC 하드삭제 피해 접수건이 12일 오후 6시 현재 928건으로 집계됐다고 밝혔다. 지난 11일 방송통신위원회는 이번 디도스 공격에 사용된 것으로 추정된 좀비PC는 7만7875대라고 추정했다. 

◇ 공격 목적 불분명..개별 PC보안 취약점 드러내

이번 디도스 공격은 새로운 형태는 아니다. 디도스 공격은 사용자의 PC에 악성코드를 감염시켜 해당 PC를 공격 무기로 바꾸는 식이다. 악성코드에 감염된 개별 좀비 PC는 미리 정해진 시간에 특정 사이트를 공격한다.

다만 이번 사태는 여러 개의 대형 사이트를 동시 다발적으로 공격했고 24시간 단위로 타깃을 바꾸었다는 점에서 차이가 있다.

또 공격을 마친 후 특정 조건의 행위가 발생할 경우 자폭하도록 설계한 점도 특징이다.

하지만 전문가들이 꼽는 가장 큰 차별점은 바로 목적을 짐작할 수 없다는 것이다. 대부분의 디도스 공격은 특정 기업을 상대로 금융 갈취를 목적으로 이뤄진다.

이번 공격은 상징적인 국가 기관과 일부 포털과 언론, 금융기관을 두루 망라했다. 이는 정치적 목적을 띈 `사이버 테러`라는 해석에 힘을 실었다.

아울러 부지불식간에 본인의 PC가 가해자가 될수 있다는 사실을 깨닫게된 계기가 됐다.
김홍선 안철수연구소 소장은 "이번 사태를 통해 일반 사용자들의 PC에 취약점이 많다는 것이 입증됐다"며 "이렇게 보안이 안된 상태로 PC가 사용된다면 새로운 악성코드에 의한 다른 형태의 공격이 얼마든지 가능할 것"이라고 우려했다. 

◇ 정부, "北 배후" 추정..실체 찾기 어려울듯

결국 관심사는 공격의 목적과 의도다. 정부는 사건 발생 초기부터 북한을 배후로 지목하고 있다.

국가정보원은 지난 10일 이번 사이버 공격이 한국과 미국·일본·과테말라 등 16개국의 86개 IP를 통해 감행됐다고 파악했다.

여기에 북한은 포함돼 있지 않았다. 하지만 북한 조국평화통일위원회의 `사이버스톰` 비난 성명서 발표, 공격대상이 보수단체라는 점 등을 근거로 북한이나 추종세력이 사이버테러를 감행한 것으로 추정했다.

이와 관련, 국정원·검찰·경찰·방송통신위원회·한국정보보호진흥원(KISA) 등 실무자들은 13일 서울중앙지검 청사에서 `사이버 공격범죄 수사 대책회의`를 열 것으로 알려졌다.

하지만 이같은 노력이 실효를 거두기는 쉽지 않을 것이란 게 전문가들의 지적이다. 결국 온갖 추측만 남긴채 미궁에 빠질 가능성이 높다는 추측이다.

김홍선 사장은 "이번 공격을 감행한 해커들은 추적 가능한 임계치 이상의 정보를 남기지 않는 등의 치밀함을 보였다"며 "물고 물리는 사이버 해킹 세계에서 범인을 잡아내기는 매우 어려운 게 현실"이라고 설명했다.

디도스 공격은 조정서버(C&C) 없이 이뤄지기 때문에 공격자가 누구인지를 알아내기 더욱 어렵다는 문제도 있다.

범인을 밝히는 노력 못지 않게 재발 방지를 위한 `입체적 노력`이 절실하다는 것도 업계의 공통된 지적이다.

김 사장은 "이번 디도스 공격은 사이버 보안 사태 가운데 하나의 형태일 뿐이며 앞으로 인터넷뿐 아니라 TV나 인터넷폰 등을 노린 범죄로도 확산될 수 있다"며 "재발 방지를 위한 근본 대책이 절실하다"고 말했다.

▶ 관련기사 ◀
☞(특징주)`디도스 잠잠`..보안주 나흘만에 약세로
☞`사이버 보안 주도` 안철수硏 재도약하나
☞안철수硏 `좀비PC` 하드손상 전용백신 제공