특집

DDoS 공격 일단락…‘대란’확산은 막았다

디지털데일리 발행일 2011-03-07 16:34:54
이유지 기자
- 민·관 공조로 악성코드 분석·유포지 차단 등 신속한 초기대응 
- 정부기관·기업 사이버공격 대응능력·보안투자, 개인 보안수준 더 강화해야 

[디지털데일리 이유지기자] 지난 3일부터 사흘 동안 청와대 등 국내 주요 웹사이트 40곳을 대상으로 발생한 분산서비스거부(DDoS, 디도스) 공격은 큰 피해를 입히지 않고 일단락되는 분위기다.  

방송통신위원회와 한국인터넷진흥원(KISA) 안철수연구소 등에 따르면, 4일부터 본격 시작된 DDoS 공격은 5일 오전 세번째 공격을 끝으로 추가공격은 발생하지 않을 것으로 추정된다. 

일단은 전용백신과 백신 실시간 감시 사용으로 6일부터 시작된 감염PC의 하드디스크와 데이터 손상으로 인한 피해를 최소화하는 게 가장 급선무다.  

그러나 악성코드 변종 제작 등으로 인한 추가 DDoS 공격이 발생할 수 있어, 정부는 4일 오전 10시를 기해 발령한 사이버위기 ‘주의’ 경보를 해제하지 않고 비상대응체제를 유지한 채 상황을 예의주시하고 있다. 

이번 DDoS 공격은 40개 주요 정부기관과 인터넷서비스업체, 금융사 사이트를 대상으로 발생했으며, 공격에 동원된 좀비PC 규모는 총 7만7207대로 분석됐다. 

P2P 사이트를 통해 악성코드를 유포, 개인PC를 감염시켜 좀비PC로 만든 뒤 사전에 계획한대로 공격을 수행했으며, 공격을 마치면서 좀비PC의 하드디스크를 손상시키는 형태라는 점에서 지난 2009년 7.7 DDoS 공격과 방식이 비슷하다. 

그러나 악성코드에 공격 종료 시점이 없고 새로운 파일을 제작하고 원격에서 공격 명령을 바꿨으며, 공격 효과를 높이기 위해 백신 업데이트를 방해해 감염PC 치료를 못하게 하는 기능을 넣었던 점에서 이전보다 진화했다. 

공격에 동원한 좀비PC의 전체규모는 지난 7.7 대란 때보단 적었지만, 본격적인 공격이 시작된 지난 4일 오후 40개 사이트를 대상으로 한 2차 공격에 악용된 좀비PC 규모는 2009년 당시보다 1만 대 이상 많았다. 이때 일부 사이트에서는 접속 지연 현상이 발생했다. 

그럼에도 지난 2009년 7월 공격 당시처럼 ‘대란’으로 번지지는 않았다. 3일 오전에 DDoS 공격을 감지한 후 민·관이 공조해 신속한 초동 대응을 벌인 것이 주효했다는 것이 대체적인 평가다.   

2009년 당시 대응과정에서 정부부터 크게 혼란스러웠던 모습을 보였던 것과는 달랐다. 위급한 상황에서 국가사이버안전센터와 방송통신위원회를 중심으로 사이버위기대응체계가 제대로 작동했다.  

그 결과 3일 공격 시도를 처음 탐지한 즉시 정보를 공유해 사전 조치·대응토록 했으며, 악성코드를 조기에 탐지·분석해 전용백신을 개발·보급하는 등 신속한 초기 대응이 특히 주효했다는 분석이다.  

◆악성코드 분석·유포지 차단, 신속한 초기대응=국가사이버안전센터와 방통위, KISA는 지난 3일 오전 7시 50분 정부기관 6개 웹사이트에 대한 DDoS 공격시도를 감지하고 악성코드 샘플을 확보해 안철수연구소와 공조해 분석을 실시하고, 즉각 대응체제를 가동했다. 

악성코드 분석 결과, 4일 오전 10시와 오후 6시30분에 추가 공격이 있다는 것을 확인해 국방부, 행정안전부 등 관계부처 합동으로 ‘사이버위기 평가회의’를 개최하고, 오전 10시부로 사이버위기 ‘주의’ 경보를 발령했다. 

이와 함께 전 국가·공공기관은 물론 KT, SKB, LG U+ 등 국내 주요 ISP에도 긴급 전파해 대응에 나섰다. 

방통위는 네이버, 다음, 옥션 등 민간분야에 사고조사 및 대응책 마련과 함께 주요 ISP, 백신사와 민간 DDoS 긴급대응회의를 열고 실시간 공격 차단체계를 유지해 왔다. 

그 과정에서 악성코드 유포·명령 사이트로 추정되는 72개국의 738개(누적) IP를 확보해 한국인터넷진흥원(KISA)와 ISP를 통해 긴급 차단했다.

국방부는 사이버사령부를 중심으로 24시간 대응체제를 가동했다. 

행정안전부는 관계 전문가로 구성된 사이버안전협의회를 긴급 소집했으며 정부통합전산센터를 중심으로 비상대응체제를 가동하고 유관 중앙부처 및 지자체에 사이버 침해대응 상황실 설치와 24시간 비상근무체계로 전환했다. 

각 중앙행정기관·지자체 비상근무 지시하고, 통합전산센터 소관 시스템에 대한 유해IP 분석·차단 조치했다.   

금융기관들도 정부와의 유기적인 협조와 대응시스템으로 인터넷 뱅킹, 사이버 트레이딩 등 대고객 서비스를 제공했다.

KISA와 안철수연구소는 악성코드 샘플과 유포지 확보와 분석으로 DDoS 공격 계획을 미리 알아내고, 전용백신 보급으로 공격을 제거하기 위한 좀비PC 치료에 공을 세웠다.  

안철수연구소는 악성코드 분석과 함께 신속하게 전용백신을 개발해 본격적인 공격이 감행된 4일 오전부터 보급에 나섰다. 

KT 등 주요 ISP 역시 감염 PC 사용자에게 감염사실을 알려줘 백신 치료를 독려하고, 네이버, 다음 등의 주요 포털도 전용백신 배포를 지원했다. 

KT, SKB, 티브로드 등 3개 사업자는 1150만 가입자에게 전용백신을 악성코드 감염과 치료 안내를 팝업형태로 제공했다. 7일 오전 현재까지 255만명이 다운로드한 것으로 확인됐다.  

아울러 KT, SKB의 IPTV가입자를 대상으로도 공지를 통해 추가 피해가 발생하지 않도록 했다.

◆7.7 DDoS 후속조치 효용성 입증, 보안투자 더 강화해야=이번 DDoS 공격 대응 과정에서는 지난 2009년 7.7 DDoS 공격 대응과정에서 경험한 학습 효과가 제대로 발휘됐다. 

정부의 체계적인 사이버위기대응체계가 효과적으로 작동한 것은 물론이고, 7.7 DDoS 공격 이후에 정부와 주요 기업에서 DDoS 대응 장비를 도입·확충하고 대응체계를 만들어 보강하는 투자와 훈련이 이뤄져 피해 확산을 막는데 크게 기여했다는 평가다. 

지난 7.7 DDoS 대란이 발생한 이후 2010년에 구축한 DDoS 사이버대피소를 기반으로 본격적인 공격이 발생한 4일에 7만7000여대 좀비PC 중에서 약 16%를 조기에 확인해, 대량의 트래픽이 발생하지 않도록 신속 조치할 수 있었다. 

작년 KISA에 구축한 ‘사이버치료체계’는 웹사이트에 공격을 직접 가하는 좀비PC를 제거하는데 큰 도움이 됐다. 이를 기반으로 좀비PC가 인터넷에 접속하는 경우, 사용자에게 악성코드 감염 사실을 알리고 악성코드 전용백신을 설치하도록 팝업창을 띄워 이용자에게 치료방안을 안내했기 때문이다. 

KISA는 보호나라(www.boho.or.kr)에서 전용백신을 직접 설치토록 해 치료를 지원했다. 

이번 DDoS 공격에서는 초창기부터 악성코드에 백신 업데이트를 방해하는 기능이 동작돼 사이버치료체계의 역할이 더욱 두드러졌다. 

KISA는 사이버치료체계는 기존에 7.7 DDoS 공격 당시 좀비PC를 확인해 분류하고 ISP 사업자에 전송하기까지 15시간 이상 걸리던 과정을 1시간으로 크게 단축, 1시간 내 모든 처리를 완료하는 체계로 이번 DDoS대응에 큰 역할을 했다고 평가했다. 

서종렬 KISA 원장은 “이번 DDoS 공격에서 사이버대피소, 사이버치료체계로 선제적 대응이 가능했다”며, “앞으로 전문역량 강화 및 대응분석 시스템을 완벽히 해 DDoS 사고의 최고 방패막이 역할을 하겠다”고 말했다.

무엇보다 국민들의 사이버 보안 인식도 이전보다 제고됐다. 

DDoS 공격 사실이 알려지자 신속하게 감염 여부 확인과 전용백신 설치에 나서 4일부터 7일 오전까지 294만 7000여 건이 다운로드된 것으로 집계됐다. 

그러나 여전히 많은 개인PC들이 공격에 악용될 정도로 보안관리 수준이 떨어졌다는 점도 동시에 드러났다. P2P 사이트 등이 악성코드 유포지로 활용됐다는 점에서 공격에 악용되는 개인PC와 민간기업의 웹사이트의 보안수준 제고를 견인할 방안이 필요하다는 것이 전문가들의 지적이다.  

공격 수법이 계속 지능적으로 발전하고 있으므로, 더욱 강위력하고 정교한 수법의 공격을 방어할 수 있도록 정부와 기업의 사이버공격 대응능력 강화를 위한 투자와 노력도 더욱 강화해야 한다는 점도 강조되고 있다. 

정부의 보안 투자는 지난 2009년 7.7 DDoS 대란이 발생한 직후 2010년에 크게 늘었으나 올해엔 다시 이전 수준으로 하락했다. 

<이유지 기자>yjlee@ddaily.co.kr


Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스