(아주경제 권석림 기자) 지난 2009년 7.7 분산서비스거부(디도스:DDoS) 공격 대란이 발생한 지 1년 8개월 만에 청와대 등 주요 웹사이트를 중심으로 디도스 공격이 다시 발생하면서 범행의 배후와 의도에 관심이 집중되고 있다.

4일 안철수연구소에 따르면 이번 악성코드가 유포된 경로는 국내 P2P 사이트인 쉐어박스인 것으로 밝혀졌지만 누가 어떤 의도로 디도스 공격을 시도했는지는 아직 파악되지 않고 있다.

이날 오전 10시께 청와대와 외교통상부, 국가정보원 등 국가기관과 국민은행 등 금융기관, 네이버 등 주요 인터넷기업 웹사이트에 대한 디도스 공격을 받아 사이트에 따라 수십분간 지속됐으나 대부분의 사이트는 곧 정상으로 돌아갔다.

하지만 디도스 공격의 특성상 악성코드에 유포된 좀비PC는 명령에 따라 움직이게 되는데, 이날 오후 6시 30분을 기해 2차 공격이 예정돼 있어 아직 안심하기는 이르다는 지적이다.

안철수연구소는 공격자가 이들 사이트를 해킹해 쉐어박스 업데이트 파일에 악성코드를 삽입해 지난 3일 오전 7∼9시에 유포한 것으로 추정했다.

◇ 디도스 공격 발생 원인은 = 디도스는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.

정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.

디도스 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포해 이 프로그램에 감염된 좀비 PC는 표적 사이트에 반복적으로 접속하게 된다.

2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 디도스 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인에게 알려지기 시작했다.

2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 디도스 방법으로 마비시키는 웜바이러스 `코드레드‘의 변종 `코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.

코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.

2003년 1월에는 디도스가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발해 사실상 인터넷 대란이 발생했다.

2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 디도스 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.

이어 2009년 7월 7일 청와대 등 11개 국내 주요 사이트와 미국 백악관, 국무부 등 14개 사이트에서 디도스 공격이 발생하면서 국내외에 디도스 공격의 위험성을 알린 바 있다.

지난해 6월에도 중국발로 추정된 디도스 공격이 청와대와 외교통상부 등 정부기관과 슈퍼주니어 홈페이지 등을 대상으로 가해졌다.

◇ 범인은 잡을 수 있나 = 통상 디도스 공격은 특정 사이트 한두 곳을 대상으로 공격, 금전을 요구하는 경우가 많지만 7.7 디도스 대란 이후부터는 금전보다는 사이버 테러를 목적으로 공격을 가한다.

실제 7.7 대란 당시 해커는 국내외 여러 중요 국가기관과 기업체의 사이트를 마비시키고도 아무런 의도를 노출하지 않았다.

청와대 등 주요 정부기관을 대상으로 삼은 것을 비춰볼 때 금전적 목적이 아닌 다른 의도가 있을 것이라는 추측 정도만 가능했을 뿐 실제 해커나 배후 세력은 밝혀지지 않았다.

이날 발생한 디도스 공격도 청와대와 정부기관, 금융기관, 인터넷기업 사이트 등을 동시다발적으로 대상으로 한 데다 배후와 의도가 밝혀지지 않았다.

다만 국내외 숙주사이트를 이용해 국내뿐 아니라 해외에서도 좀비PC를 육성해 한국과 미국의 웹사이트를 동시 공격한 7.7 대란과는 달리 이번에는 아직 해외에서의 공격은 보고되지 않았다.

업계에서는 디도스라는 수법 특성상 7.7 대란과 마찬가지로 이번에도 범인을 찾기 쉽지 않을 것으로 내다봤다.

해커들이 대규모 공격을 위해 자신의 PC를 사용하는 것이 아니라 악성코드를 유포해 이에 감염된 불특정다수의 좀비PC들이 공격을 감행하기 때문이다.

실제로 지금까지 디도스 테러의 범인이 잡힌 경우는 거의 없었으며, 그나마 잡혔다 하더라도 기술적인 이유라기보다는 금품을 요구하는 과정에서 덜미를 잡힌 경우였다.

현재 악성코드가 유포된 경로는 국내 P2P 사이트인 쉐어박스인 것으로 밝혀졌지만 누가 어떤 의도로 해킹을 시도했는지는 파악되지 않고 있다.

방통위는 28개의 유포 명령 사이트를 찾았고 이번에 감염된 좀비PC의 수는 2009년 7월 공격 당시의 11만5000대에 비해 소규모인 720여대라고 밝혔다.

그러나 안철수연구소는 V3 이용자 중 악성코드에 유포돼 이번 공격에 동원된 좀비PC의 수는 4300대 정도로 추정했다.

현재 국내 V3 이용자가 1800만명 수준이라는 것을 감안하면 실제 좀비PC의 수는 이보다 훨씬 더 많을 것으로 전망했다.

◇ 전용백신 예방이 우선 = 안철수연구소는 긴급 전용백신(www.ahnlab.codownFile.do?file_name=v3removaltool.exe)을 온라인에서 무료로 제공하고 있어 개인 및 기업 이용자들은 이를 통해 자신의 PC를 점검할 수 있다.

무엇보다도 평소 좀비PC를 예방하기 위한 이용자 스스로의 노력이 중요하다.

안철수연구소는 좀비PC를 예방하기 위한 방법으로 △윈도 운영체제, 인터넷 익스플로러, 오피스 제품의 최신 보안 패치를 모두 적용할 것 △통합보안 소프트웨어를 설치할 것 △이메일 확인 시 발신인이 모르는 사람이거나 불분명한 경우 유의할 것 △페이스북, 트위터 등 소셜 네트워크 서비스(SNS) 이용 시 잘 모르는 사람의 페이지에서 함부로 단축 URL을 클릭하지 말 것을 당부했다.