KT, DDoS 악성코드 첫 입수

분산서비스거부(DDoS) 공격에 대한 대처 과정에서 KT가 처음으로 악성코드 파일을 확보했던 것으로 나타났다.

13일 KT에 따르면 과천에 있는 KT 망관제센터 보안관제태스크팀은 지난 7일 1차 DDoS 공격 당시 국내 처음으로 악성코드 실행파일을 입수, 보안업체에 전달해 치료 백신을 만들도록 했다.

보안관제태스크팀은 청와대 등 한국과 미국의 주요 22개 사이트에서 과다 트래픽이 발생하는 것을 확인하고 트래픽을 초래하고 있는 100여개 '좀비PC'의 IP를 발견, 악성코드 샘플 확보에 나섰다.

보안관제태스크팀은 1시간반의 설득 끝에 울산과 용인의 두 고객으로부터 악성코드 추출을 승낙받고 원격 접속을 통해 40분 만에 'svchost.exe'이라는 악성코드 파일을 추출하는데 성공했다.

이에 따라 보안관제태스크팀은 8일 오전 1시께 안철수연구소와 이스트소프트에 메일로 악성코드 샘플을 전달했다.

KT는 이밖에도 2차 공격 이후 감염PC 고객 8590명에 이어 670만명의 전 고객에게 백신 치료를 요청하는 팝업 공지문을 띄우는 한편 현장수리요원 7700명, IT서포터즈 400명을 출동시켜 감염 PC 치료에 나섰다고 밝혔다.

정창성 망관제센터 부장은 "입수한 악성코드는 명령을 내리는 숙주 서버가 나타나지 않아 우리가 처리할 방법이 없었다"며 "감염된 IP나 PC를 찾아서 치료해줄 수밖에 없다고 판단하고 신속하게 보안업체에 전달한 것"이라고 말했다.

한편 KT의 IT봉사단체인 ‘IT서포터즈’는 7일 이후 분산서비스(DDoS) 공격으로 손상된 모든 PC를 수리할 예정이다. DDoS 공격으로 PC손상을 입은 고객은 이용하는 초고속인터넷 업체와 상관없이 한국정보보호진흥원(국번없이 118)에 전화로 신청하면 해당 지역 IT서포터즈의 도움을 받을 수 있다.

손상PC를 그대로 방치할 경우 악성코드에 감염된 PC가 웹 상에서 재활성화될 우려가 있고, 백신을 설치하지 않은 ‘좀비PC’가 아직 남아있는 것으로 판단돼 이 같은 조치를 취하게 됐다고 KT는 설명했다.

김진오 기자 jokim@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>