지난 7일 오후부터 국내 주요 전산망을 마비시켰던 사이버 테러가 소강 국면에 들어갔다. 분산서비스 거부(DDoS) 공격을 일으킨 악성코드에 감염됐다가 피해를 입은 PC도 990여대에 그치는 등 DDoS 후폭풍으로 인한 피해도 크지 않은 것으로 나타났다. 그러나 추가 공격 가능성은 없는지,공격 세력은 북한이 맞는지 등 의문점은 아직도 풀리지 않고 있다.



◆방통위 "추가 공격 가능성 배제 못해"

사흘 연속 청와대 등 42개 국가 주요 기관 및 기업의 홈페이지를 마비시켰던 DDoS 공격이 지난 주말을 고비로 수그러들었다. 이들 사이트에 대한 트래픽은 평상시 수준으로 줄어드는 등 이상 징후는 보이지 않고 있다.

DDoS 공격의 숙주로 악용됐던 좀비PC들의 피해도 계속 신고되고 있지만 전반적인 피해 규모가 우려했던 것보다는 크지 않다는 지적이다. 하드디스크가 파괴되거나 워드 엑셀 등 특정 파일이 삭제되는 피해를 입은 PC는 12일 밤 9시까지 993대로 잠정 집계됐다. 방통위는 좀비PC가 8만여대인 것을 감안하면 피해 규모가 예상보다 크지 않은 것으로 보고 있다. PC 사용자들이 사고가 터진 이후 보안백신을 설치해 미리 피해를 차단했기 때문이다.

KT LG파워콤 SK브로드밴드 등 초고속인터넷 가입자 중 악성코드에 감염된 7만7875대의 83.7%가 보안패치 프로그램을 설치한 것으로 나타났다. 황철증 방송통신위원회 네트워크정책국장은 "현재로선 4차 공격이나 변종 바이러스 출현의 징후는 보이지 않고 있어 이번 사이버 대란은 주말을 거치며 소멸 단계에 접어든 것으로 보인다"면서도 "추가 공격 가능성을 완전히 배제할 수는 없어 사태 추이를 지켜보고 있다"고 말했다.


◆북한 공격설이 모방 범죄 차단

사이버 공격이 잠잠해졌는데도 정부 당국이 긴장의 끈을 놓지 못하고 있는 것은 아직도 풀지 못한 과제가 많은 탓이다. 4차 공격이 다시 이어질 것인지,악성코드로 인한 또 다른 피해가 빚어지지 않을지 명확한 것은 하나도 없다. DDoS 공격에 사용된 악성코드에 대한 분석이 마무리되지 않은 탓이다.

이 때문에 추가 공격 가능성에 대한 궁금증이 커지고 있다. 지금까지 발견된 악성코드의 특징은 단순히 특정 사이트에 과도한 트래픽을 일으키는 DDoS 공격만 가하는 것이 아니라 특정 파일을 삭제하거나 하드드라이브를 파괴하는 기능까지 포함됐다는 점이다. 그동안 DDoS 공격에 활용된 악성코드와는 다른 점이다.

이 때문에 악성코드에 설정된 공격 시간이나 추가 기능을 분석하는 데 꼬박 하루가 넘게 걸렸다. 황 국장은 "악성코드에 대한 분석이 마무리되지 않아 추가 공격 가능성도 확인하지 못한 상태"라고 말했다.

3000여개에 이를 수 있다던 변종 바이러스가 24종에 그친 것도 의문점이다. 7일 오후 사이버 테러가 발생하자 일부 컴퓨터 백신업체들은 변종 바이러스가 계속 나오고 있어 최대 1000개에 이를 수도 있다고 경고했다. 대형 보안사고가 터질 경우 범죄에 가담하지 않았던 해커들이 모방 범죄 등에 나서 변종 바이러스가 급증하는 일이 빈번하게 일어나는 것도 이런 우려를 낳은 이유였다. 한 보안업계 관계자는 "국정원이 사고가 터지자마자 북한을 배후 세력으로 추정한 덕분에 일반 해커들이 모방 범죄에 나서지 않아 결과적으로 악성코드 확산을 막은 셈이 됐다"고 말했다.


◆IP 추적 어디까지 할 수 있나

배후설도 불명확하다. 국가정보원은 북한 인민군 총참모부 정찰국 산하 '110호 연구소'를 구체적으로 지목했다. 북한이 자주 쓰는 해킹수법 등이 이용됐다는 이유에서 였다. 국정원 관계자는 "6~7개로 추정되는 북한의 중국 거점에서 배후 조정했을 가능성이 있다"며 "배후 인터넷주소(IP)를 찾아내는 데 5~6개월가량이 소요될 수 있다"고 말했다. 그러나 IP 추적이 가능할지에 대해 논란이 많다. 국정원이 찾아낸 19개국 92개 IP도 우회 경로에서 드러난 것이고 범죄 장소의 IP는 아니기 때문이다. 보안업계 관계자는 "세탁된 IP로 치밀하게 범행이 이뤄져 범죄에 사용된 IP를 찾기는 매우 어려울 것으로 판단된다"고 말했다.

박영태 기자 pyt@hankyung.com