7.7 DDoS 재연?..원인은 지난해 좀비PC

[아시아경제 김철현 기자]7.7 DDoS 대란 1주년인 7일 청와대 등 일부 국가 기관과 민간 사이트에 소규모 분산서비스거부(DDoS) 공격이 시도됐다. 정확히 1년 만에 지난해 피해 사이트에 대한 동시 공격이 감지돼 DDoS 공격이 재연되는 것 아니냐는 우려를 낳기도 했지만 이번 공격의 원인은 지난해 감염된 좀비PC 때문인 것으로 파악됐다.

방송통신위원회는 7일 오후 6시경부터 청와대, 외교통상부 등 일부 국가기관과 네이버, 농협, 외환은행 등 민간 홈페이지를 대상으로 한 소규모 DDoS 공격을 탐지해 긴급 조치에 나섰다고 밝혔다.

공격량은 지난해 7.7 DDoS 공격과 비교해 매우 적은 수준이었고, 즉각적인 조치를 취해 공격은 소멸됐으며 우려할 만한 사항은 아니었다는 것이 방통위 측의 설명이다. 하지만 방통위 및 한국인터넷진흥원(KISA) 등은 만일의 사태에 철저히 대비하기 위해 악성코드 샘플을 입수해 정밀 분석 작업을 벌이는 등 적극적인 대응을 하고 있다고 강조했다.

하지만 보안 전문가들은 이번 소규모 DDoS 공격의 원인이 지난해 공격에 동원됐던 좀비PC가 치료되지 않고 있다가 다시 해당 날짜에 공격을 감행한 것 때문으로 분석하고 있다. 지난해 7.7 DDoS 공격을 시도하는 악성코드에 감염됐지만 이를 치료하지 않고 시스템의 날짜만 2008년으로 바꾼 경우 1년이 지난 시점에서 악성코드가 다시 활동을 시작했을 수 있다는 것이다.

이번에 공격의 대상이 된 청와대, 외교통상부, 네이버, 농협, 외환은행 등이 지난해 공격 대상이었다는 점도 이같은 분석에 설득력을 더한다.

방통위 관계자는 "이번 공격의 정황으로 볼 때 지난해 7.7 DDoS 공격에 사용됐던 좀비PC 중 일부가 치료되지 않은 상태에서 공격을 재개했을 가능성이 크다"고 설명했다.

보안 업체 잉카인터넷 관계자 역시 "대응팀에서 확인한 바에 의하면 지난해 7.7 DDoS 공격에 사용됐던 일부 악성코드가 완벽하게 치료되지 않고 1년간 잠복기를 거친 후 재활동을 한 것으로 파악하고 있다"고 말했다.

결국 지난해처럼 공격 주체가 의도적으로 특정 사이트를 노린 공격을 시도한 것이 아니라 일부 치료되지 않은 좀비PC로 인해 소규모 DDoS 공격이 발생했다는 얘기다.

방통위 네트워크정보보호팀 관계자는 "아직까지 치료되지 않은 좀비PC가 다수 남아있다는 반증"이라며 "DDoS 대란 재발을 막기 위해 사용자들은 백신 프로그램을 최신 버전으로 긴급 업데이트해 PC의 악성코드 감염 여부를 점검할 필요가 있다"고 강조했다.

한편 분산서비스거부공격(Distribute Denial of Service attack)이란 여러 대의 컴퓨터가 동시에 특정 사이트에 접속하도록 해 해당 사이트를 마비시키고 시스템이 정상적으로 작동하지 못하게 하는 해킹수법이다. 보안이 취약한 PC들을 악성코드에 감염시켜 공격 대상 사이트에 동시에 접속하도록 하는 것이다. DDoS 공격을 유발하는 악성코드인 봇(BOT)은 윈도 취약점을 악용하거나 웹페이지에 숨겨둔 악성코드, 스팸메일 등을 통해 전파된다.

지난해에는 7월 7일부터 3일간 국내 22개 주요사이트에 동시에 DDoS 공격이 감행돼 접속 중단 등으로 사회적 혼란을 가져왔다.



[아시아경제 증권방송] - 무료로 종목 상담 받아보세요


김철현 기자 kch@
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>