'진정국면이냐 태풍전야냐….'

사흘간에 걸친 DDoS(분산서비스 거부) 공격이 일단 진정국면에 들어갔다. 정부가 10일 DDoS 공격의 원인이 된 악성코드를 배포한 숙주사이트 5곳을 발견,차단한 것이 효과를 보고 있기 때문이다. 지난 9일 밤 DDoS 공격의 새로운 유형으로 등장한 'PC 파괴' 악성코드도 위력이 급감하고 있다. 4만8000대로 추정되고 있는 '좀비 PC(악성코드에 감염된 PC)' 중 하드웨어가 파괴된 것은 400여대에 머무른 것으로 파악됐다.

하지만 일부 전문가들은 소강상태에 들어간 DDoS 공격이 또 다른 형태의 공격을 준비하기 위한 '숨고르기'일 수도 있다는 관측을 내놓고 있다. 무엇보다도 얼굴 없는 공격자의 의도와 신원이 드러나지 않고 있다는 게 최대 불안 요인이다. 방송통신위원회가 10일 기자회견을 통해 "4차 공격은 없을 것 같지만 안심하기는 이르다"고 한 이유다.

◆진압작전 일단 성공

방통위는 1차 사이버테러가 발발했던 지난 7일 독일 오스트리아 그루지야 미국 한국 등 5개국의 DDoS 악성코드 숙주 사이트 5개에 대해 접속을 차단,추가 감염 우려를 막았다. 9일에는 하드디스크를 파괴하는 기능을 가진 악성코드를 뿌려온 19개국 92개 IP(인터넷주소)도 봉쇄하는 조치를 취했다. 이로써 이번 사태를 일으킨 악성코드는 더 이상 확산되지 않고 있다.

정부와 보안업계는 10일 오후까지 4차 공격 징후가 나타나지 않고 있고,인터넷 트래픽 양도 평소와 크게 다르지 않아 이번 사이버 테러 사태가 진정국면으로 접어들고 있는 것으로 보고 있다. 실제 지난 9일 오후 6시부터 시작된 3차 공격은 이전 공격의 트래픽 양에 못미쳤으며 공격 대상인 국민은행 등 7개 사이트도 별다른 피해를 입지 않은 것으로 파악됐다.

이미 감염된 PC들도 보안업체들이 전용 백신을 무료로 배포하면서 속속 정상화되고 있다. 안철수연구소는 DDoS 공격이 시작된 이후 이틀 동안 무료 백신인 'V3 Lite'는 약 20만건,이번 공격에 이용된 악성코드에 대한 전용백신은 10만건 정도 다운로드됐다고 밝혔다.

'좀비 PC'의 하드웨어를 파괴하기 위해 10일 새벽부터 활동하기 시작한 신종 악성코드도 당초 우려와 달리 세력이 크게 위축됐다. 일찌감치 한국경제신문 등을 통해 PC 파괴 악성코드의 활동을 막을 수 있는 방법과 전용 백신 사이트에 대한 홍보가 이뤄졌기 때문으로 보인다. 비스타,윈도2000,윈도XP 등의 운영체제(OS)가 깔려있는 PC 중에서도 게임 프로그램 설치 등에 쓰이는 닷넷프레임워크가 설치된 PC만 피해대상이 된 영향도 있었다. 안철수연구소 관계자는 "새로 배포되는 악성코드가 없거나 변종이 발생하지 않는 한 주말쯤에는 해결 기미가 보일 것"이라고 말했다.

◆"공격 이제 시작일 뿐"

이 같은 양상에도 불구하고 적지 않은 보안 전문가들은 지금보다 훨씬 강도 높은 추가 테러 발발 가능성을 경고하고 있다. 무엇보다도 이번 DDoS 공격을 주도한 인물(세력)이 대담한 스케일과 탁월한 완급조절 능력을 지닌 것으로 보고 있기 때문이다.

국가정보원은 이 때문에 이번 사이버 테러의 배후로 북한을 지목하고 있다. 북한이 지난달 27일 조국평화통일위원회(조평통) 성명을 통해 미국이 주도하는 한 · 미 사이버전 합동훈련을 맹비난한 점, 해외에서 해커부대를 운영하고 있다는 점 등이 그 정황이다. 아직은 추측에 불과한 셈이다.

보안 전문가들은 공격자를 찾아내는 것이 거의 불가능에 가깝다고 지적한다. 다른 사람의 PC를 공격해서 공격 명령만 내리고 도망칠 수도 있기 때문이다. 문제는 신원 파악이 안 될 경우 공격의 의도나 목표를 짐작하기 어려워 추가 테러에 대한 대비책을 마련하기 힘들다는 것.

지난 9일 한국경제신문에 미국 뉴저지의 악성코드 유포 IP를 결정적으로 제보한 홍민표 쉬프트웍스 대표는 "이 정도 솜씨라면 DDoS 공격은 본격적인 공격을 앞둔 시운전에 불과하다"며 "범인은 아마 다양한 공격 시나리오를 짜놓고 이쪽의 대응수순과 강도를 지켜보고 있을 가능성이 높다"고 강조했다.

조일훈/민지혜 기자 jih@hankyung.com