미풍에 그친 DDos 공격…"아직 안심 못해"

좀비PC 1000여대 동원돼
청와대ㆍ농협ㆍ네이버 정상접속
안철수硏ㆍ하우리 백신 무료 배포

다량의 트래픽을 발생시켜 특정 사이트를 마비시켰던 '7 · 7 DDoS(분산서비스거부) 공격'이 1년 만에 재연됐다. 지난 7일과 8일 이틀째 DDoS 공격이 탐지됐지만 별다른 피해는 발생하지 않았다. 공격을 받은 청와대 등 정부기관과 농협 네이버 등 민간 금융사 및 주요 포털 사이트에는 평소와 다름없이 정상 접속이 이뤄졌다.

박철순 방송통신위원회 네트워크정보보호팀장은 "지난해 7 · 7 DDoS 공격에 동원됐던 좀비PC(악성코드에 감염된 PC) 중에 치료되지 않고 방치된 PC의 악성코드가 1년이 지난 시점에 다시 활동을 개시,DDoS 공격이 재개됐다"며 "피해는 거의 없는 수준"이라고 말했다.

방통위는 악성코드 샘플을 채취해 분석한 결과 지난해 7 · 7 DDoS 대란을 일으킨 악성코드가 또다시 활동한 것이라고 결론을 내렸다. 지난해 DDoS 공격을 일으킨 악성코드들은 2009년 7월7일 오후 6시라는 특정 시간에 맞춰 작동하고 10일 밤 12시에 하드디스크가 손상되도록 설계된 '논리폭탄형(logic bomb)'이었다. 당시 PC에 맞춰진 시간 등의 조건이 맞지 않아 손상되지 않았거나 이후에 감염된 PC들이 활동했다는 얘기다.

방통위는 이번 공격에 동원된 좀비PC는 1000여대로 추정했다. 지난해 좀비PC 11만5000대에 비해서는 훨씬 적은 수다. 이 때문에 이번 DDoS 공격에는 초당 1메가비트(Mbps) 수준의 공격 트래픽(데이터 전송량)을 일으키는 데 그쳐 피해를 입히지 못했다. 지난해 DDoS 공격 때는 최대 수십 기가비트(Gbps)의 트래픽을 발생시켜 공격 사이트들을 24~72시간가량 마비시켰다.

좀비PC들이 8일에도 청와대 등의 사이트를 2차 공격한 징후가 포착됐다. 방통위는 악성코드들이 3일 동안 연속적으로 활동하도록 설계돼 있어 9일에도 DDoS 공격이 이뤄질 가능성이 있다고 밝혔다.

DDoS 공격이 미풍에 그치고 있는 것은 정부의 신속한 대응도 한몫했다는 평가다. 방통위는 좀비PC 치료를 위해 KT,SK브로드밴드,LG U+ 등 인터넷접속사업자(ISP)에 좀비PC 목록을 제공해 좀비PC 사용자에게 전화 등으로 감염사실을 통보하고 치료하도록 조치를 했다. 안철수연구소 하우리 등 컴퓨터백신업체들은 백신프로그램을 무료로 배포했다.

보안 전문가들은 "지금처럼 좀비PC가 대규모로 남아있는 상황에서는 언제든지 지난해와 같은 DDoS 대란이 발생할 수 있다"고 우려하고 있다.

신대규 한국인터넷진흥원(KISA) 침해사고대응단 상황관제팀장은 "국내에 400만대가량의 좀비PC가 있는 것으로 추산된다"며 "각급 학교나 버스터미널 경로당 등 관리가 허술한 공공시설의 PC 상당수가 악성코드에 감염돼 있다"고 말했다. 학교 전산실에 설치된 PC의 경우 악성코드가 대당 30~40개 정도 발견되는 경우도 예사라는 게 신 팀장의 설명이다.

조귀동 기자 claymore@hankyung.com