‘6·25 해킹’에 새 디도스 수법 사용

보안 허술한 웹사이트 직접 감염… 배후 밝혀내는데 시간 더 걸릴듯

‘6·25 사이버 공격’에 기존과 다른 새로운 공격 수법이 동원됐다는 분석이 나왔다.

정보보안업체 안랩은 정부 기관과 언론사, 정당 등에 대한 디도스(DDoS·분산서비스거부) 공격에 ‘좀비PC’를 이용한 기존 방식과 함께 ‘악성스크립트’를 이용한 새로운 기법이 쓰였다고 26일 밝혔다.

악성스크립트 디도스 공격이란 해커가 보안이 허술한 웹사이트를 먼저 감염시킨 뒤 공격 통로로 사용하는 방식이다. 해커가 특정 웹사이트에 악성스크립트를 설치해 놓으면 일반 사용자들이 이 웹사이트를 방문할 때마다 자동으로 공격 대상 웹사이트에 공격신호(트래픽)를 보내게 된다. 안랩 측은 정보보안에 상대적으로 허술한 소규모 학습정보 웹사이트 등이 공격 통로로 쓰인 걸 확인했다고 밝혔다. 일반 인터넷 사용자들의 컴퓨터를 ‘좀비PC’로 만든 뒤 공격에 사용하는 기존 방식과 다른 형태다.

사이버 공격이 발생했을 때 배후 세력을 밝히기 위해선 공격 방식에 대한 분석이 중요한 정보로 사용된다. 3월 ‘3·20 사이버 테러’는 사용된 악성코드가 기존의 북한 공격과 유사했기 때문에 초기부터 북한의 소행이라고 지목됐다.

하지만 안랩에 따르면 이번에 청와대와 국가정보원, 새누리당의 웹사이트 공격에 쓰인 악성스크립트 방식은 국내에서 발생한 대형 디도스 공격 가운데 처음 보이는 패턴이다. 따라서 기존 공격과 비교하기 어려워 공격의 배후를 밝히는 데에도 상당한 시간이 걸릴 것으로 전망된다.

안랩 측은 정부통합전산센터는 좀비PC를 사용한 기존 방식의 디도스 공격을 당했고, 언론사들은 변형된 새로운 종류의 악성코드에 의해 공격당했다고 분석했다. 안랩은 현재 해당 악성코드에 대응하는 백신을 만들어 배포한 상태다.

김상훈 기자 sanhkim@donga.com