치료안된 좀비PC 속 악성코드 1년만에 되살아나 공격나섰나

전문가들 “조직적공격 흔적 적고… 대상도 작년과 같아”

크게보기

디도스 공격이 발생한 지 딱 1년이 된 7일 오후 6시경 국가기관과 유명 포털, 금융회사 등에서 디도스 공격이 나타나자 방송통신위원회 등 관계 기관에는 비상이 걸렸다. 다행히 지난해와 같은 피해는 없었다. 공격의 수준도 낮았다.

이날 큰 문제가 없었던 건 지난해 디도스 공격 이후 유명 사이트들이 보안 관련 대응 수준을 높인 덕분이다. 디도스 공격이 본격적으로 일어나기 전 각 사이트의 보안 장비와 방화벽 등이 이상한 움직임을 감지하고 미리 경고하면서 빨리 대응할 수 있었다.

디도스 공격이란 수천∼수만 대의 컴퓨터를 이용해 짧은 순간에 한 사이트에 접속량을 크게 늘려 해당 서버 컴퓨터가 이런 요청을 미처 처리하지 못하도록 만드는 공격이다. 수천∼수만 대의 컴퓨터가 동시에 한곳에 접속하도록 하기 위해 컴퓨터 바이러스 등의 형태로 불특정 다수의 컴퓨터를 감염시키는 이른바 ‘좀비PC’를 동원한다.

방통위 네트워크정보보호팀 관계자는 “다행히 일찍 공격을 발견해 디도스 공격이라고 생각되는 컴퓨터의 인터넷주소(IP)를 해당 홈페이지에 접속하지 못하도록 조치했다”고 말했다.

이번 디도스 공격의 방식과 진원지 등은 한국인터넷진흥원(KISA)이 분석하고 있다. 진흥원 측은 지난해 디도스 사태 때 좀비PC를 만들기 위해 사용됐던 컴퓨터 바이러스가 1년 뒤 같은 날짜인 올해가 되자 다시 활동을 했을 수 있다고 보고 있다. 공격의 정도가 너무 약해 누군가가 고의로 조직적인 디도스 공격을 한 것 같지는 않다는 분석이다.

KISA 관계자는 “지난해 7·7 디도스 공격 당시의 악성코드는 좀비PC의 하드디스크를 파괴하기로 예정돼 있었다”면서 “백신을 내려받아 치료하기가 귀찮은 사람들이 시스템 날짜 중 월일은 그대로 둔 채 연도만 이전으로 되돌리면서 이번 공격이 발생했을 수 있다”고 설명했다. 공격 대상 사이트가 당시와 같다는 점도 이 같은 해석에 무게를 실어주고 있다. 지난해 디도스 공격과 마찬가지로 이번 디도스 공격 역시 원인이나 주체를 명확히 밝히기는 어려운 것으로 알려졌다.

안철수연구소는 최근 들어 디도스 공격의 형태가 예전보다 더 다양해져 위협이 되고 있다고 분석했다. 사회적 관심사를 다룬 내용인 것처럼 e메일을 보내거나 백신프로그램을 사칭해 감염시키는 등 지능화되고 있다는 것이다. 따라서 홈페이지를 운영하는 기업이나 기관은 물론 개인도 신경을 써야 디도스 공격의 위험을 예방할 수 있다.

김상훈 기자 sanhkim@donga.com