‘좀비PC’ 2만5000대 동원…“변종 공격이라 해결책 막막”

“이것이 감염 컴퓨터”
한국과 미국의 주요 정부기관 및 금융회사 홈페이지에 가해진 디도스(DDoS) 공격을 수사 중인 경찰청 사이버테러대응센터 수사관들이 8일 서울 서대문구 미근동 경찰청에서 해킹에 동원된 ‘감염 컴퓨터’에 대해 설명하고 있다. 김미옥 기자

《7일 오후부터 청와대, 국회, 한미연합군사령부 등 국내 주요 정부기관과 미국 백악관, 국무부 등 미국 사이트들에 접속 장애를 일으킨 디도스(DDoS·분산서비스거부) 공격에 대해 8일 방송통신위원회와 서울중앙지검 첨단범죄수사2부가 각각 브리핑을 했다.

그러나 현실적인 대응 방법에 대해서는 두 곳 모두 “완벽한 해결책이 없다”고 말하는 등 무기력한 모습을 보였다. 방통위와 검찰의 브리핑 내용을 중심으로 인터넷 대란을 일으킨 이번 디도스 사건을 알기 쉽게 풀어 본다.》

디도스 공격이란? 차량통행 100배로 늘려 도로 막아버린 셈
개인정보 피해는? 해킹 아닌 접속장애… 자료유출 아직 안밝혀져
방어할수는 없나? 수만곳서 분산 접속… 누가 해커인지 구별못해

Q: 디도스 공격이라는 게 뭔가.

A: 디도스 공격은, 예를 들어 설명하면 오가는 차량을 평소보다 100배 늘려 도로가 제 역할을 못하도록 하는 것과 같은 공격 방법이다. 높은 기술 수준을 요구하지 않는 ‘구닥다리’ 사이버 공격기법이지만 정상적인 접속과 악의적인 공격을 쉽게 구별할 수 없기 때문에 웹 사이트 관리자가 막아내기 어렵다. 공격시도도 월 수백 건에 달할 정도로 많다. 디도스 공격은 초기에는 이용자들이 직접 사이트에 접속하는 방식으로 이뤄졌다. 2000년대 초반만 해도 게시판에 공격할 사이트와 공격 이유를 올려놓고 정해진 시간에 해당 사이트에 한꺼번에 접속하는 형태로 공격이 이뤄졌다. 대부분 정치적인 목적이었다.

Q: 이번에는 누가, 어떻게 공격했나.

A: 7일 오후 악성코드에 감염된 1만8000대의 ‘좀비PC’가 국내 주요 정부 기관과 미국 사이트에 과부하를 걸어 사이트 접속을 못하게 했다. 8일에는 디도스 공격을 감행한 좀비PC가 2만5000대로 늘어났다. 이 공격에 사용된 컴퓨터의 90%가 국내에 있는 것으로 파악됐다. 그 가운데 하나가 모 케이블방송사업자(SO)인데 이곳 가입자들이 많이 감염된 것 같다. 누가 처음에 했는지는 알 수 없고 공격 진원지도 모른다. 계속 조사 중이다.(노승권 서울중앙지검 첨단범죄수사2부장)

중요한 것은 지금도 계속 공격이 이루어지고 있으며 좀비PC 수도 늘고 있다는 점이다. 다만 지금 상황은 공격 대상이 특정 사이트로 지정돼 있고 다른 사이트는 공격 대상이 아니다. 대부분 사이트의 네트워크 용량이 1GB(기가바이트)를 넘지 않는데 이번엔 10GB가량의 공격이 이어지기도 했다.(한국정보보호진흥원 이명수 센터장)

Q: 고급 자료 유출이나 개인 정보 해킹 등의 피해는 없나.

A: 현재까지 파악된 바로는 자료의 해킹은 없다. 디도스 공격은 네트워크에 과부하를 유발해 정상적인 서비스를 방해하는 사이버 공격이다. 정보를 빼내기 위한 목적은 아니다. 이런 공격 방식은 상당히 구식이기에 정보를 빼내지는 못한다.(노)

이번 사건은 해킹이 아니다. 특정 사이트에 접속할 수 없는 것이다. ‘접속 장애’ 혹은 ‘접근 장애’가 맞는 표현이다.(이)

Q: 디도스 공격은 이번이 처음이 아닌데 속수무책으로 당하고 있는 이유는….

A: 과거는 핵심 통신망이 다운되는 방식으로 접속 장애가 일어났기 때문에 복구가 상대적으로 쉬웠다. 하지만 이번 건은 좀비PC가 동원돼 특정 사이트에 대해 지속적으로 공격하는 방식으로 이뤄졌다. 이런 경우는 근래 들어 처음이다. 또 대부분 디도스 공격 자체가 금품을 요구하는 등 목적이 분명했는데 이번에는 불특정 다수의 컴퓨터를 이용해 겉으로 드러난 목적 없이 공격했다. 그래서 우리는 이번 공격의 실체를 변종(變種), 일명 ‘언논(unknown) 악성코드’로 보고 있다. 한 번도 당한 적이 없으니 백신 샘플도 없었다.(이)

이번 건은 주요 사이트를 상대로 일어난 사건인 만큼 사람들의 관심을 끈 것은 분명하다. 공격자도 이런 점을 염두에 두고 일을 벌인 것 같다.(노)

Q: 문제 해결은 어떻게 하고 있나.

A: 공격 대상 사이트 중 한 곳으로 알려진 ‘네이버’ 등 대형 사이트들은 디도스 대응장비를 갖추고 대량 접속 트래픽이 발생하면 이를 다른 경로로 분산시키는 방법으로 피해를 막고 있다. 특정 이용자의 PC가 좀비PC로 확인되면 이용약관에 의해 접속을 강제 차단시켜 대응하고 있다.(이)

완벽한 해결책은 없다. 서버나 서버로 이어지는 회선은 모두 정해진 용량이 있는데 이를 넘어선 트래픽이 발생하면 제대로 기능할 수 없다. 또 디도스 공격은 수천∼수만 곳에서 분산해서 접속하기 때문에 진짜 손님과 해커를 구분할 수 없어서 차단하기 어렵다.(노)

인터넷 이용자들이 스스로 자신의 PC가 디도스 공격에 동원되는 좀비PC인지 확인하지 못한다면 디도스 피해는 계속될 것이다.(이준호 NHN 보안정책실장)

김범석 기자 bsism@donga.com

유덕영 기자 firedy@donga.com

:디도스(DDoS·분산서비스거부) 공격:

수많은 좀비PC를 이용해 대량의 트래픽을 보냄으로써 특정 시스템이나 사이트에 과부하를 일으켜 정상적인 서비스를 방해하는 사이버 공격.

:봇(Bot):

해커가 실시간으로 하달하는 명령에 따라 공격을 수행하는 악성코드의 한 종류. 악성코드의 다른 종류로는 웜, 바이러스, 트로이목마 등이 있다.

:좀비PC:

봇에 감염돼 해커의 명령에 따라 움직이는 PC. PC 사용자도 모르게 PC가 해커의 뜻에 따라 특정 시스템으로 대량의 트래픽을 전송하는 역할을 한다. 좀비PC들의 그룹을 봇넷(BotNet)이라고 한다.

:명령제어(C&C·Command and Control) 서버:

봇에 감염된 좀비PC에 공격명령을 하달하는 서버.

:ISP(Internet Service Provider):

개인이나 기업에 인터넷 접속 서비스 등을 제공하는 업체. 흔히 초고속인터넷 서비스를 하는 업체를 뜻한다. 현재 국내 주요 ISP 업체는 KT, LG데이콤, SK브로드밴드 등이다.