정보통신부는 31일 국내 보안업체인 시큐아이닷컴(대표 오경수·www.SECUi.com)이 고객사에 대한 보안점검 도중 ‘서비스 거부 공격(DDOS)’에 사용되는 해킹프로그램이 ‘이식’된 사실을 발견, 이를 28일 경찰청과 한국정보보호센터에 신고했다고 밝혔다.
경찰청은 신고를 받은 즉시 역추적을 벌여 해킹의 중계지로 밝혀진 강릉의 한 PC방에 수사대를 급파, 해킹 경로를 차단했다.
▽범인은 누구인가〓경찰은 이번 범행이 다수의 외국 해커들에 의해 조직적으로 준비되었을 가능성이 크다고 31일 밝혔다. 해커들이 전화모뎀을 통해 미국 버지니아주에 위치한 인터넷 서비스 업체에 접속한 뒤 강릉에 있는 PC방에 잠입, ‘중간거점’으로 삼았기 때문이다. 그러나 국내인이 ‘경로세탁’을 위해 미국을 거쳐 재입국했을 가능성도 배제하지는 않았다.
해커들은 침입했던 인터넷사이트에 언제든 다시 침입할 수 있는 백도어(뒷문)를 설치하는 등 주도면밀한 모습을 보였다. 또 금년 2월 야후를 공격했던 ‘스머프’와 ‘ROOT KIT’ 등의 해킹 프로그램을 설치, 범행 대상을 물색해온 것으로 드러났다.
경찰은 이들이 ‘실력과시형’이라기보다는 ‘목적달성형’의 악성 해커들일 가능성이 큰 것으로 보고 있다.
▽범행수법〓해커들은 전형적인 분산공격용 프로그램인 ‘Trinoo’를 250여개 서버에 설치해놓고 공격 개시 시간을 기다렸다. ‘Trinoo’는 핵분열을 일으키듯 해킹당한 컴퓨터가 또다시 제3의 전산망을 공격하도록 한 프로그램. 강릉의 PC방에 설치된 마스터 서버에 ‘서비스 거부’ 명령이 내려지는 순간 이와 연결된 250여개 서버는 국내외 유명 전자상거래 사이트나 금융기관, 국가 기관 등 공격 목표에 일제히 막대한 양의 ‘쓰레기 데이터’를 보내 전산망을 마비시키게 된다.
▽예상되는 피해 상황〓서비스 거부 공격은 데이터 파괴보다는 서비스 기능을 마비시킨다. 그러나 해킹을 당한 기업들의 중요 자료 상당 부분이 유출됐을 가능성도 배제할 수 없다. 또 시스템 파일을 파괴하는 ‘ROOT KIT’이 설치된 서버는 복구가 거의 불가능할 것으로 예상된다. 해킹당한 서버의 운용체제가 리눅스뿐만 아니라 MS 윈도와 NT 등도 포함된 것으로 알려져 피해는 의외로 커질 뻔했다.
경찰청은 이날 “해킹 대상은 170개 서버였으나 해킹 피해를 신고한 곳은 31곳이었다”고 밝혔다. 이는 “640여개 서버가 대상이었고 250개 서버가 해킹을 당했다”는 시큐아이닷컴의 조사 결과와 큰 차이를 보이는 것. 전문가들은 피해 규모의 차이에 대해 “업체와 기관들이 해킹 사실을 적극적으로 신고하지 않았기 때문”으로 분석했다.
▽문제점〓250여개 서버가 해킹을 당했는데도 적발이 뒤늦게 이뤄진 것은 큰 문제. 사이버패트롤 김활중사장은 “서버관리자 교육이 이뤄지지 않는 한 또 다른 해킹사건이 발생할 가능성이 크다”고 지적했다. 해킹 사실이 의심될 경우 한국정보보호센터(02―3488―4119), 경찰청 컴퓨터 범죄 수사대(02―392―0330), 대검찰청 정보범죄 수사센터(02―3480―2480), 시큐아이닷컴(02―3458―6711)으로 연락하면 기술지원을 받을 수 있다.
▼서비스 거부 공격?/쓰레기 데이터 대량전송 특정서버 동작 마비시켜▼
해킹의 방법 중 하나로 Distributed Denial of Service의 약자.
미리 수십 수백개의 서버에 해킹 프로그램을 침투시켜 놓은 뒤 이를 원격 조정, 동시에 막대한 양의 ‘쓰레기 데이터’를 특정 인터넷 사이트로 전송해 서버의 동작을 마비시킨다.
2월 미국 최대의 인터넷서점인 아마존도 이 공격을 받아 24시간 이상 가동이 중단됐다.
<문권모기자>africa7@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
-
- 추천해요
- 개
지금 뜨는 뉴스
-
당신을 빨리 늙게 하는 나쁜 습관 8가지
- 좋아요 개
- 코멘트 개
-
與 싱크탱크 ‘여연’까지 내분… 원장 퇴진 요구
- 좋아요 개
- 코멘트 개
-
“폭행-부양 거부, 상속제외 패륜에 넣어야”… 사회적 합의가 관건
- 좋아요 개
- 코멘트 개