국민銀김용원 IT기획부장 ‘아주 긴 하루’

“저녁 6시 5분 트래픽 평소의 15배로 치솟아
시스템 마비 막으려 홈피접속 30% 인위 차단”

9일 오후 6시 5분, 국민은행 김용원 IT기획부장(47)의 입은 바싹 탔다. 6시부터 3차 디도스 공격이 시작되면서 국민은행 사이트 접속 건수가 순식간에 30만 건으로 치솟았다. 평소 접속 건수인 2만∼3만 건과는 비교도 안 될 정도의 규모. 국민은행 인터넷 서버가 감당해낼 수 있는 임계치보다 2배나 많았다.

서울 강서구 염창동 국민은행 전산센터에는 극도의 긴장감이 감돌았다. 김 부장이 속한 비상대책위는 접속 건수의 30%를 인위적으로 차단하기로 결정했다.

“가장 긴박하면서 힘든 순간이었습니다. 시스템이 마비되는 것을 막기 위해 고객에게 불편함을 주면서까지 홈페이지 접속을 차단한다는 게 전산 담당자로서는 너무 힘든 결정이었죠.”

김 부장은 이틀 전인 7일 오후 다른 은행들이 1차 공격을 받은 뒤부터 전산센터에서 24시간을 보내고 있다. 옷을 갈아입기 위해 잠깐 집에 들렀다 올 뿐 숙식을 모두 이곳에서 해결한다. 8일 국민은행 사이트가 2차 공격을 받으면서부터는 문밖 출입은 엄두도 못낸 채 꼼짝없이 갇힌 신세가 됐다.

“그래도 8일은 생각보다 공격이 심하지 않았습니다. 대신 다른 은행들의 디도스 공격 패턴을 분석해 3차 공격을 예측하고 대응책을 마련하느라 밤을 꼬박 새웠지요.”

그는 지난해 3월 자체적으로 디도스 대응 시스템을 구축한 뒤 4차례에 걸쳐 디도스 공격을 받았던 게 ‘전화위복’이 됐다고 생각한다. ‘디도스 공격’이라는 것을 처음 겪으면서 많은 걸 배웠다.

“외부에 알려지지 않았지만 작년에도 디도스 공격을 받았습니다. 유형이 제각기 달랐고 그에 따른 대응도 모두 달랐죠. 하지만 이때 어떻게 장비를 가동하면 되고, 어떤 프로세스로 대응을 해야 하는지 배울 수 있었습니다.” 대응 시스템만 구축한 게 아니라 이를 운영하는 법까지 경험했기 때문에 이번 공격에도 나름대로 선방하고 있다는 게 김 부장의 설명이다.

6시 35분 공격이 잦아들고 인터넷 접속이 다시 정상화되면서 김 부장은 겨우 한숨을 돌렸다. 하지만 9일 밤에도 그는 전산센터를 지켜야 했다.

정임수 기자 imsoo@donga.com

▼악성코드, 공격 명령-대상-타이머 내장한 ‘변종 디도스’
“특정세력이 기획단계부터 치밀한 준비”▼

디도스(DDoS·분산서비스거부) 공격의 매개체인 신종 악성코드에 대한 분석이 엇갈리고 있다. 보안업체들은 3차에 걸친 공격이 변종 악성코드에 의한 것이라고 보고 있다. ‘신종 인플루엔자’ 같다는 얘기가 나올 정도다. 반면 경찰은 공격에 동원된 ‘좀비 PC’ 6대를 확보해 분석한 결과 변종 악성코드는 발견하지 못했다고 밝혔다. 보안업체와 경찰이 서로 다른 분석을 내놓은 것이다.

보안업체들은 이번 디도스 공격에 사용된 악성코드를 내부 속성을 스스로 바꿀 수 있는 변종 악성코드로 보고 있다. 또 2차 공격 때 이용된 좀비 PC에 침투한 악성코드 중에 제목이 ‘Memory of…’인 대량의 스팸메일을 보내도록 하는 신종 악성코드가 발견됐으며 지금까지의 디도스 공격과는 달리 악성코드에 감염된 PC의 하드디스크가 파괴된다는 주장도 나오고 있다. 안철수연구소 측은 “1차와 2차 공격에 사용된 악성코드는 본질적으로는 같은 악성코드로 코드의 내부 파일이 자체적으로 공격 대상 목록을 생성할 수 있는 것으로 보인다”고 밝혔다.

반면 경찰청 사이버테러대응센터는 공격에 동원된 좀비 PC를 입수해 분석한 결과 현재까지 디도스 공격을 유도하는 기능 외에 다른 공격을 하도록 설정된 변종 악성코드는 발견하지 못했다고 설명했다. 경찰은 이번 악성코드가 정해진 공격목표와 시간에 작동했을 뿐 자체적으로 속성을 바꾸는 능력은 없다고 보고 있다. 1, 2차 공격에 쓰인 좀비 PC들도 거의 겹치지 않는 별개 PC들이었다고 경찰은 밝혔다.

그러나 디도스 공격이 3차에 걸쳐 정교하게 진행됨에 따라 특정 세력이 기획 단계부터 치밀하게 준비한 ‘사이버 테러’라는 의견은 모두에게서 설득력을 얻고 있다. 경찰은 △1, 2차 공격이 대상에는 차이가 있지만 공격 방식이 같은 점 △1차 공격이 잦아들고 2차 공격이 시작돼 연결성이 있는 점 등을 볼 때 동일 집단의 소행으로 판단하고 있다.

한편 이번 디도스 공격에서 악성코드는 이용자가 스팸메일을 열어보거나 인터넷에서 내려받기를 잘못 해 전파된 것으로 전문가들은 보고 있다. 이 악성코드의 내부 파일에는 공격 명령은 물론 공격 대상이나 공격 시간 등이 포함돼 있다.

김선우 기자 sublime@donga.com

유덕영 기자 firedy@donga.com