방통위 ‘디도스 공격’ 대응 일문일답

방송통신위원회는 4일 발생한 분산서비스거부(디도스:DDoS) 공격과 관련, 브리핑을 통해 "3일 오전 디도스 공격 상황을 접수한 뒤 악성코드에 대해 집중적인 모니터링을 벌이고 있다"고 밝혔다.

방통위는 "악성코드에 감염된 '좀비PC'의 수는 2009년 7월 공격 당시의 11만5000대에 비해 소규모인 720여개"라며 "현재는 소규모지만 앞으로 얼마나 늘어날지 모르는 상황이라 가능성을 열어두고 대비하고 있다"고 말했다.

다음은 방통위 네트워크기획보호과 박철순 서기관과의 일문일답.

-공격 발생 이후 조치 상황을 알려달라.

"4일 오전 8시30분에 국가사이버안전센터 등이 디도스 공격상황을 접수했다. 코드를 수집해 분석한 결과 40개 기관이 공격 대상임을 확인, 40개 기관에 통보했다. 해당 기관의 사이트는 대부분 정상 운영 중이나 일부 사이트는 공격을 힘들게 방어하고 있는 것으로 파악됐다. 초기 유포에 관련된 '쉐어박스'의 업데이트 파일을 삭제하도록 했고 (감염 경로중) 업데이트를 명령하는 사이트 28개를 차단했다. 악성코드에 감염된 720여 개 좀비PC를 찾아 전용백신으로 치료 중이다."

-바이러스 감염 경로에 대해 설명해 달라.

"쉐어박스에 접속해 뭔가 다운받으려면 '업데이트하시겠습니까'라는 문구가 뜨는데 이를 클릭하면 악성코드에 감염된다. 그렇다고 해서 이 단계에서 하드웨어를 파괴하거나 디도스 공격을 바로 하게 되는 것은 아니다. 이후 순차적으로 9개 IP를 접속해 업데이트 파일을 내려받게 되는데 거기서 순차적으로 디도스 공격이나 파일 삭제 기능을 다운받는다. 9개 IP에 접속하면 온전한 악성코드가 돼 디도스 공격이나 하드디스크 파괴 등의 기능을 갖게 되는 셈이다."

-P2P 사이트가 바이러스의 진원지인가?

"꼭 그렇다고 할 수는 없다. 여기서 배포가 돼 이후 9개 IP에 순차접속하면 온전한 악성코드가 되는 식이니 배포처라고 할 수 있다. 현재 28개의 유포 명령 사이트를 찾았는데, 이 유포 사이트를 거치면서 해커의 조정을 받는 식이다. 유포 명령 사이트가 얼마나 있는지는 모르지만 현재 28개 사이트를 발견해 차단했다.

-2009년 7월 7일의 공격과 방식이 유사해 보인다. 어느 정도 심각하다고 보고 있나?

"재작년에는 11만5000여대가 좀비PC로 동원됐다. 현재는 720개 정도의 소규모인데 향후 얼마나 늘어날지는 모르겠다. 가능성을 열어두고 대비하고 있다."

-감염원은 쉐어박스만인가?

"지금까지 파악된 것은 그렇다."

-28개 유포 명령 사이트에서 해커의 명령은 파악됐나?

"해커의 직접적인 조정을 받아 공격한 것은 아닌 것 같다. 시점ㆍ대상 코드를 받아 공격하는 방식이다."

-720개 정도의 좀비PC로도 규모가 있는 디도스 공격이 가능한가?

"지금 파악된 것만 720개 수준이라는 것이다. 오늘 오전 10시부터 새로 디도스 공격이 시작됐는데 정확히 어느 정도의 규모인지는 몰라도 어제 오전보다 규모가 더 커진 것이 파악됐다. 그래서 `주의' 발령을 내린 것이다."

디지털뉴스팀