하루전 악성코드 신고됐는데…청와대 등 대응 ‘구멍’

4일 오후 서울 금천구 가산동의 한 인터넷서비스업체가 디도스 공격을 일으키는 악성코드의 진원지로 추정돼 경찰 조사를 받은 뒤 사무실 문을 잠궈놓고 있다. 이종근 기자 root2@hani.co.kr

2009년 ‘7·7대란’ 겪고도 초기대응 미흡
백신업체 “공격방식 진화…분석 어려워”
“감염원인 P2P 업체 보안강화를” 지적도

정부기관 등 40곳에 디도스 공격

4일 청와대와 네이버 등 주요 인터넷 사이트 40곳을 대상으로 한 대규모 ‘디도스(DDos: 분산서비스거부)’공격은 2009년 7월7일 국내와 미국에서 동시에 발생한 ‘디도스 사태’에 견줘 규모는 크지 않다. 하지만 그동안 간헐적으로 발생한 소규모 디도스 공격과는 양상이 사뭇 다르다. 왜 이런 사태가 끊이지 않고 일어날까?

■ 2009년과 비교하면 이번 디도스 공격은 2009년 7월7일의 공격과 유사한 방식으로 이뤄졌다.

우선 공격자가 파일공유(P2P) 사이트를 해킹한 뒤 악성코드를 심어 감염 전파를 위한 숙주사이트로 활용했다는 점, 악성코드가 하나가 아닌 7개의 파일로 구성돼 있어 순차적으로 업데이트해 간다는 점 등이 유사하다. 또 악성코드에 감염돼 좀비피시가 되면 해커의 명령을 받기 위해 28개 서버에 접속해 공격자의 명령을 수행하는 것이나, 청와대·국가정보원·국방부·주한미군 등 보안이 중요한 기관까지 공격 대상으로 삼았다는 점도 비슷하다. 공격자의 정체를 모르고 목적을 짐작하기 어렵다는 것도 공통점이다.

다른 점들도 있다.

2009년 디도스 공격 때는 미국에서 14곳, 국내 사이트 21곳이 공격을 받았지만 이번에 피해가 생긴 40곳은 모두 국내 사이트다. 또 공격 대상 사이트에 트래픽을 늘려 간접적으로 피해를 주는 게 아니라 직접 서버시스템의 부하를 일으킨다는 점도 달라진 공격 형태다. 특히 이번 악성코드는 상업용 백신이 수행하는 자동 업데이트 기능을 막아, 악성코드의 생명력을 강화했다는 것도 지능이 높아진 공격 수법이다. 공격을 받은 사이트의 대응방식도 허둥댔던 2009년과는 많이 달라졌다. 공격을 받은 직후 곧바로 대응에 나섰고, 초고속인터넷 사업자들이 팝업창을 통해 바로 좀비피시 치료에 나서 피해 규모를 줄였다.

■ 왜 미리 못 막았나? 2009년 디도스 사태 이후 인터넷 시대에 무차별 사이버공격의 위험성에 대한 경각심이 높아지고 범정부 차원의 대책이 추진됐지만 국가 주요기관의 사이트들은 이번에도 디도스 공격을 막지 못했다.

특히 지난해 천안함 침몰, 주요 20개국(G20) 정상회의, 연평도 피습 때는 정부가 사이버공격에 대비해 경보 수준을 ‘관심’으로 높이는 등 대응을 했지만 이번에는 초기 대응이 미흡했다는 지적을 받고 있다. 악성코드에 대한 신고와 분석이 3일 오전에 이뤄졌는데도 바로 다음날 오전의 대규모 공격을 막지 못했다.

그만큼 사이버공격의 전술 진화 속도가 빠르다는 방증이기도 하다.

김홍선 안철수연구소 사장은 “간헐적으로 금품을 요구하는 등의 디도스 공격이 발생하고 있으며, 2009년 디도스 공격 이후 악성코드의 공격 방식도 진화하고 있어 분석하기가 힘들어지고 있다”고 말했다. 특히 국내 인터넷 이용자들이 콘텐츠를 내려받기 위해 많이 사용하는 웹하드나 파일공유 사이트의 파일에 신종 악성코드를 숨겨놓을 경우 이 코드가 활성화하기 전에는 발견하기 어려운 게 현실이다. 해커가 사용하는 악성코드의 파일 크기가 작고, 더구나 이번처럼 그 기능이 여러 개의 독립된 파일로 분리돼 있을 경우 전체적인 공격 방식을 분석하기도 어렵다.

디도스 공격의 원인이 되는 악성코드의 전파를 막으려면 정부 차원의 대응책과 별개로, 파일공유 사이트 등을 운영하는 업체들이 강화된 보안 시스템을 통해 감염원을 철저히 차단해야 한다.

구본권 홍석재 기자 starry9@hani.co.kr