지난 7일 시작된 분산서비스거부(DDoS) 공격이 장기화될 조짐을 보이고 있다. 8일 2차 공격에 이어 9일에는 3차 공격까지 예고돼 있는 상황이다. 공격 대상도 청와대를 비롯한 주요 정부기관과 은행과 포털, 사이버 보안업체까지 대상을 수시로 바꾸고 있다.
하지만 첫 공격이 이루어진지 이틀이 지났지만 공격의 진원지와 주체는 물론 어떤 목적으로 공격을 하고 있는지 밝혀진 것은 아무 것도 없다.
급기야 정부에서는 '북한 배후설'을 제기했고 일부에서는 사이버 테러 대응 조직을 늘리기 위한 '자작극'이라는 음모론도 나오고 있다. 그만큼 이번 공격은 유례가 없었던 새로운 방식과 양태를 보이고 있다. 이에 대한 오해와 진실을 알아봤다.
1) 공격 대상을 어떻게 바꿨을까
이번 분산서비스거부(DDoS) 공격은 해외 사이트는 물론 주요정부기관, 은행 뿐 아니라 보안업체까지 무차별 공격 대상으로 삼고 있다. 1차 공격에서는 해외 사이트가 많이 포함됐지만 2차 공격은 대부분 국내 사이트를 대상으로 했다. 악성코드가 하루 만에 공격 대상을 바꾸는 사례는 이번이 처음이다.
이에 대해 안철수연구소는 "분석 작업 결과, 악성코드 자체에 스케쥴러 기능이 설계돼 있었다"며 "공격 대상과 시간도 변동 등에 의해 수시로 변경될 수 있다"고 밝혔다.
안철수연구소가 분석한 바에 따르면 9일 오후 6시부터 10일 오후 6시까지는 네이버 메일, 다음 메일, 국민은행, 조선닷컴, 정부전자민원창구 등에 공격을 하도록 설계돼 있었다. 또 8일 오후 6시부터 9일 오후 6시까지는 청와대, 국정원, 옥션, 우리은행, 안철수연구소 등을 공격하도록 설계되어 있었던 것으로 밝혀졌다.
안철수연구소측은 "이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정된다"고 설명했다.
또 공격을 벌인 악성 코드가 메인 서버의 공격 명령 없이 스스로 공격을 하는 새로운 방식이라 기존 서버 차단 등의 방법으로는 공격을 막을 수 없는 상황이다. 게다가 악성코드에 감염된 PC의 숫자도 7일 저녁 1만8000대에서 9일 오전 현재 2만9000대로 늘어난 상태다. 이에 따라 3차, 4차 공격까지 거듭 될 것으로 보안업체들은 예상하고 있다.
현재 방송통신위원회는 악성코드에 감염된 PC의 인터넷 접속 차단을 검토중이다.
2) 해커 추적, 왜 어렵나
현재 경찰은 공격에 동원된 '좀비PC'를 확보해 수사를 벌이고 있다. 좀비PC란 해커가 유포한 악성코드에 감염돼 해커가 의도한 트래픽 공격에 사용자도 모르게 동원되는 일반 PC를 말한다.
일반 PC는 해커가 악성코드를 심어놓은 특정 사이트에 방문해 악성코드에 감염되면서 '좀비PC'가 되기 때문에 경찰은 확보한 좀비PC가 방문한 사이트를 역추적하는 방식으로 근원을 추적하고 있다.
하지만 악성코드가 설치 이력을 스스로 지우는 기능이 있어 추적이 쉽지 않은 상황이다.
때문에 확보한 좀비PC의 인터넷 접속 내역 등을 비교해 공통으로 접속한 사이트나 내려 받은 파일을 찾아 추적해 나가는 수밖에 없어 시간과 인력이 많이 소요될 것으로 보인다.
3) 북한 배후설 얼마나 설득력 있나
'분산서비스거부' 공격은 해커가 공격 대상자에게 돈을 요구하거나 데이터베이스 서버 등을 해킹해 정보를 빼가려는 목적에서 이루어지는 경우가 대부분이다.
하지만 이번 공격은 대상이 국가기관부터 은행과 포털 등 민간기업까지 모두 포함돼 있지만 돈을 요구하거나 서버를 해킹하지도 않았다. 때문에 공격 배경과 배후에 대해 궁금증이 커지고 있다.
이에 대해 국가정보원은 8일 "북한이나 북한을 추종하는 세력이 해킹한 걸로 추정된다"고 밝혔다. 하지만 국정원은 구체적인 판단 근거를 제시하지는 못했다.
미국의 <폭스뉴스>도 미 국방부 관계자의 말을 인용해 대규모 사이버 공격의 배후에 북한이 있다고 보도했다. 미국은 백악관을 포함해 정부와 민간기관 20여 곳이 이번 공격에 노출됐다.
하지만 이번 공격의 배후로 북한을 거론한 것은 섣부르다는 반응이 나오고 있다. 일부에서는 단순히 해커가 실력을 과시하려고 정부기관은 물론 보안업체까지 공격을 한 것일 수도 있다는 추측을 제기하고 있다. 경찰도 '북한 배후설'에 대해서는 말을 흐리고 있다.
시큐어웍스의 위협 대응 부문을 이끌고 있는 조 스튜어트 이사는 8일(현지 시간) <컴퓨터월드>와의 인터뷰에서 "이번 공격이 국가 차원에서 이루어졌다는 증거는 없다"며 "사용된 악성코드에 보안 프로그램을 피해가는 요소들이 포함돼 있지 않고 매일 공격 대상 사이트의 숫자가 늘어나고 있다는 점은 정부가 이번 공격 배후일 가능성이 적다는 증거"라고 밝혔다. 이어 "이번 공격은 특정 사이트를 차단하기 보다는 관심을 끌려는 의도에서 이루어진 것으로 보인다"고 설명했다.
IT전문지 <지디넷코리아>도 보안전문가의 말을 인용해 "국정원이 이번 공격의 배후로 북한을 거론한 것과 관련 일부 보안 전문가들 사이에선 기술적으로 납득하기 어렵다는 반응이 나오고 있다"며 "지금까지 확실한 것은 이번 DDoS 공격은 국내에 깔린 좀비PC를 통해 이뤄졌다는 것 뿐, 나머지 것들은 아직 근거가 부족한 추측으로 볼 수밖에 없다"고 보도했다.
특히 정부가 사이버 테러 대응 관련 조직을 늘리거나 관련 업체들이 사이버 보안 시장을 키위기 위해 일부러 벌인 자작극 아니냐는 음모론도 나오고 있다. 민주당은 "국정원이 '사이버테러법'을 통과시키기 위해 '북한 배후설'을 퍼뜨리고 있는 것이 아니냐"고 의심하고 있다.
4) '좀비PC'된 내 컴퓨터, 데이터엔 이상 없을까
분산서비스 거부 공격용 악성코드들은 감염된 컴퓨터의 하드디스크를 파괴할 수도 있는 것으로 알려지고 있다. 따라서 악성코드에 감염된 컴퓨터의 경우 공격에 이용된 뒤 다운되거나 재부팅 되지 않는 등 치명적인 피해를 입을 수도 있어 사용자의 주의가 요구된다.
보안기업 잉카인터넷에 따르면 전날 오후 발생한 DDoS 2차 공격에서 쓰인 악성코드가 하드디스크 데이터까지 파괴하고 있는 것으로 나타났다. 특히 수집된 악성코드 샘플 중 'wversion.exe (Trojan/W32.Agent.36864.ADH)' 파일은 시스템을 다운시키고 재부팅까지 막고 있다.
또 재부팅에 성공하더라도 다수의 데이터 및 문서 파일들이 암호화되어 정상적으로 프로그램을 사용하지 못하는 경우가 생길 수도 있다.
잉카인터넷측은 "분산서비스거부 공격에 이용됐던 PC내 중요 데이터들을 파괴시키기 위한 개별 사이버 테러 방식까지 공격범위를 넓혔다는 점은 추후 예상치 못한 새로운 피해로 이어질 가능성이 크다"고 밝혔다.
5) 내 컴퓨터가 '좀비PC'가 되지 않으려면
본인 컴퓨터가 악성코드에 감염돼 다른 사이트를 공격하는데 이용되고 있다하더라도 평소 이용속도와 큰 차이가 없어 사용자가 눈치 채기가 쉽지 않다. 때문에 반드시 보안 프로그램을 설치해 감염 여부를 확인하고 치료해야 한다.
안철수연구소(V3), 이스트소프트(알약), 하우리(바이로봇) 등 보안업체의 프로그램을 무료로 내려받아 설치하면 된다. 보안 프로그램은 설치 후 꾸준한 업데이트를 통해 최신 버전으로 유지하는 하고 컴퓨터를 켰을 때 자동으로 실행되거나 업데이트되도록 설정해 놓아야 한다. 또 운영체제로 윈도를 사용하는 경우 최신 윈도 보안패치를 적용할 필요도 있다.
정보보호진흥원(KISA)의 보호나라 홈페이지(www.boho.or.kr)에서도 자신의 PC가 이번 악성코드에 감염됐는지 확인할 수 있다.
