10여개 파일 유기적 연결…‘악성코드’ 분석 어려워

06

한국·주한미군 24시간 주기 공격당해…미국은 달라
국내 사이트 정상화…미 국방부 등 한국선 접속안돼

안철수연구소가 해독한 ‘디도스 공격 설계도’

<한겨레>가 입수한 이번 악성코드의 ‘디도스 공격 설계도’를 보면, 이번 공격의 시점, 주기, 지속시간, 대상 사이트 등 주요 특징을 상세히 알 수 있다. 이번에 공격을 한 악성코드 파일은 기존보다 크기가 크고 10여개가 연결돼 작동하는 등 복잡한 구조로, 누군가에 의해 조직적으로 준비된 것으로 추정된다.

■ 한·미 간 디도스 공격 유형 달라 지난 7일 한국 11곳, 미국 14곳 사이트를 동시에 24시간 동안 공격한 것으로 애초 알려졌지만, 해독 결과 이는 사실과 달랐다. 24시간 주기로 공격이 감행된 것은 국내에 한정된 내용이었다. 한국과 달리 미국을 대상으로 한 공격은 7일 저녁 9시부터 10시간 동안 진행됐다. 2차례나 공격을 받은 주한미군 사이트(usfk.mil)는 한국 사이트와 한 묶음으로 분류돼 있어 국내 사이트와 같은 시간대에 24시간 공격을 받았다. 이렇게 한·미 간 공격 유형이 다른 것은 악성코드가 숙주 사이트에 원격으로 접속해 내려받은 파일의 특성이 다른 데 따른 것이다.

정보보호진흥원은 7일 오후 6시44분 국내 주요 사이트들에 대한 디도스 공격을 감지한 뒤 같은 날 저녁 9시께 악성코드에 감염된 피시에서 원격 접속을 통해 코드 샘플을 확보했다. 이를 즉시 안철수연구소를 비롯한 백신업체 6곳에 전달했다. 안철수연구소는 24시간이 넘는 분석 끝에 9일 오전 9시30분 3차 공격 대상과 시각을 해독해냈다.

조시행 안철수연구소 시큐리티대응센터장은 “그동안 문제를 일으켜온 악성코드 파일에 비해서 이번 공격을 일으킨 악성코드는 10여개의 파일이 유기적으로 연결돼 작동하는 등 크기가 크고 복잡하고 분석이 어려웠다”며 “20여명이 달려들어 밤을 새며 분석했지만 평소의 악성코드가 서너 시간 걸리던 것에 비해 24시간 넘게 소요됐다”고 밝혔다. 이번 사이버 공격이 누군가에 의해 조직적이고 치밀하게 시도됐을 가능성이 매우 높다는 말이다.

■ 일부 사이트는 여전히 접속 불가 10일 오후 6시 국내 사이트를 대상으로 한 ‘3차 디도스 공격’ 시한이 끝남에 따라 대부분의 사이트 트래픽이 정상화됐다. 하드디스크 손상 피해가 접수된 건수는 12일 오후 6시 현재 924건이며, 인터넷 서비스 사업자들은 좀비 피시에 대한 조처에 나서 97% 넘게 치료를 완료했다. 케이티는 피시가 손상됐을 경우 정보보호진흥원(국번 없이 118)에 요청하면 이용 고객이 아니어도 아이티서포터스가 출동해 복구해준다고 밝혔다. 단 하드디스크 손상 과정에서 삭제된 데이터는 복구가 불가능하다.

디도스 공격은 끝났지만, 접속 불가 사이트들이 여전히 있다. 한국에서의 공격 때문에 접속을 차단한 미국 정부 사이트들 중 다수가 아직 한국에서의 접속을 허용하지 않고 있기 때문이다. 백악관·국무부 등의 사이트는 차단이 해제됐지만, 국방부·교통부·국토안보부·연방무역위원회·주한미군 등은 여전히 한국에서 접속할 수 없는 상태다.

구본권 기자 starry9@hani.co.kr