특집

좀비PC 2만여 개로 늘어…‘DDoS 공격 확대될까’ 촉각

이유지 기자
- 4일 저녁, 5일 오전 DDoS 추가 공격... 감염 시점 4일 또는 7일 후 하드디스크 파괴 예상 

[디지털데일리 이유지기자] 국내 주요 웹사이트를 대상으로 발생한 분산서비스거부(DDoS, 디도스) 공격이 4일 저녁과 5일 오전에도 이어질 것으로 예고된 가운데, 악성코드에 감염된 좀비PC가 계속 늘어나고 있어 관계기관이 촉각을 곤두세우고 있다. 

방송통신위원회와 KISA(한국인터넷진흥원, 원장 서종렬)에 따르면, 이날 오후 1시 30분경 1만 여개로 파악됐던 좀비PC가 오후 6시경엔 2만1000여개로 늘어난 것으로 분석됐다.

이에 앞서 공격용 악성코드를 정밀분석한 결과, 감염된 좀비PC가 이날 오후 6시 30분경(40곳)과 5일 오전 10시 45분경(29곳)에 각각 추가 공격을 시도할 것으로 파악됐다.  

이에 따라 방통위와 KISA, 국가사이버안전센터, 안철수연구소 등은 긴장감을 늦추지 않고 공동 대응하고 있다.   

방통위와 KISA는 이번 DDoS 공격에서도 지난 7.7 DDoS 공격과 유사하게 좀비PC의 하드디스크를 스스로 파괴하는 2차 피해가 예상됨에 따라 인터넷 이용자들은 즉각적으로 전용백신을 다운로드해 검사를 수행해야 한다고 당부했다. 

이용자 PC가 악성코드에 감염된 경우, 감염 시점을 기준으로 4일 또는 7일째 되는 날 스스로 하드디스크를 파괴시키는 행동을 하는 것으로 분석됐다고 KISA는 설명했다. 

아울러 이번 공격에 이용된 악성코드는 백신 업데이트를 방해하기 때문에, 기존의 백신제품을 설치해 놓은 이용자들도 반드시 보호나라(www.boho.or.kr) 또는 인터넷침해대응센터(www.krcert.or.kr) 사이트에서 전용백신을 설치해 감염여부를 점검해 치료해야 한다.

정부는 이날 오전 10시부터 국내 29개 웹사이트를 대상으로 1만 3000여 대 가량의 좀비PC가 DDoS 공격을 시도한 시점부터 사이버위기‘주의’경보를 발령하고, DDoS 공격 차단과 추가 피해를 방지하기 위해 적극 대응하고 있다. 

이날 공격 대상 일부 사이트에서 부분 장애가 발생한 것으로 파악했다.  

정부는 3일부터 관련 징후를 포착해 DDoS 공격을 유발하는 악성코드를 수집하고 분석했으며, 이를 백신업체와 공유해 전용 백신을 개발해 보급하고 있다. 

아울러 변종 DDoS 공격용 악성코드 출현, 비정상 트래픽 증가 등에 대한 집중적인 모니터링을 실시하는 한편 주요 ISP(KT, SKB, LU U+), 백신사, CSO 임원급 ‘긴급 DDoS 공격 대책회의’를 개최하는 등 유관기관들과 긴밀한 공동대응체제를 구축해 유사시 상황에 대비하고 있다. 각 행정기관에서도 침해대응 상황실 설치 및 24시간 비상 대응을 벌이고 있다. 

이번 DDoS 공격은 지난 2009년 7.7 공격과 마찬가지로 근원지 추적이 어려운 상황이다. 

다만 공격에 이용된 악성코드는 셰어박스, 슈퍼다운 P2P(웹하드) 사이트를 통해 유포된 것으로 분석됐다. 이들 웹하드에 접속해 파일을 다운로드할 시 업데이트를 요청하는데, 이 과정에서 악성코드에 감염된다. 악성코드에 감염되면 추가로 공격 기능 등을 여러차례 다운로드해 감염PC를 좀비PC로 만든다.  

경찰은 공격근원지 추적을 위해 이들 웹하드 업체와 공격 대상 피해업체를 대상으로 조사에 나서는 등 수사에 착수했다. 

방통위 황철증 네트워크정책국장은 “감염PC는 안철수연구소의 V3와 알약 등 기존 백신으로는 치료할 수 없어 반드시 좀비PC 여부를 확인한 후 전용백신을 설치해 업데이트해야 한다”며, “그렇지 않으면 데이터가 손실될 수 있다”고 강조했다.  

<이유지 기자>yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널