진화한 디도스…‘좀비피시’ 하드 파괴

공격자 추가명령 내린듯
방통위, 악성코드 IP 차단

특정 인터넷 사이트를 집중공격해 정상적인 서비스를 어렵게 하는 ‘분산서비스거부’(DDoS) 공격의 수단이 갈수록 진화하고 있다. 디도스 공격이란, 불특정 다수의 개인용컴퓨터(PC)에 악성코드를 퍼뜨려 대량의 ‘좀비피시’를 만든 다음 이 피시들이 한꺼번에 특정 인터넷 사이트에 접속하도록 하는 것이다.

정부와 안철수연구소 등 보안업계는 6일 오전 일부 좀비피시들이 스스로 하드디스크를 파괴하는 등 지난 4일 디도스 공격을 일으킨 악성코드가 예상하지 못한 방향으로 진화했다고 밝혔다. 이번 디도스 공격을 일으킨 악성코드를 분석한 보안업체들은 악성코드에 감염된 좀비피시가 감염 뒤 4일 또는 7일이 지나면 자체 하드디스크를 망가뜨릴 것으로 예상했지만, 공격자가 일정을 바꾸며 하드디스크 즉시 파괴로 공격 방향을 변경한 것이다.

이는 좀비피시에 침투한 악성코드의 파일에 전용백신을 내려받지 못하도록 보호나라(www.boho.or.kr) 등 백신 사이트 접속을 방해하고 4일이나 7일 뒤가 아닌 즉시 하드디스크를 파괴하도록 하는 명령이 들어 있기 때문이다. 방송통신위원회 쪽은 디도스 공격이 큰 장애를 일으키지 못하고 전용백신을 내려받으면서 좀비피시의 수가 줄어들자 공격자가 새로운 명령을 내린 것으로 추정했다.

방통위는 6일 오후 6시 현재 좀비피시의 하드디스크 파괴 사례가 62건 접수됐다며 추가로 있을지 모르는 하드디스크 파괴 피해를 막기 위해서는 사용자들이 꺼져 있는 피시를 다시 켤 때 반드시 안전모드로 부팅해 디도스 전용백신을 내려받은 뒤 사용할 것을 권장했다. 피시를 다시 시작한 다음 기능키(F8)를 눌러 안전모드를 선택해 부팅한 뒤 보호나라나 안철수연구소(www.ahnlab.com)에 접속해 디도스 전용백신을 내려받아 설치하면 된다. 방통위는 악성코드 유포, 명령 사이트로 추정되는 729개 인터넷주소(IP)에 대해 인터넷진흥원 등을 통해 차단하는 등 긴급대응에 나섰다.

한편 지난 4일 오전 국내 인터넷 사이트 40여곳을 상대로 전개됐던 디도스 공격은 6일까지 일부 이어졌지만, 이렇다 할 피해를 일으키진 않았다. 2009년 7월7일 발생한 ‘디도스 대란’과는 달리 방통위와 보안업체 등이 기민한 대응에 나섰고, 한때 3만여대에 이른 좀비피시도 초고속 인터넷 서비스 업체들이 이를 감지하고 초기에 치료에 나선 게 효과가 있었다.

구본권 기자 starry9@hani.co.kr