[한경닷컴]국내 주요사이트 25개를 마비시킨 분산서비스거부(DDoS) 공격이 사흘째인 9일에도 이어지며 피해가 속출하고 있다.전날 오후 16개 사이트에 2차 공격을 벌인데 이어 이날 오후 3차 공격까지 예상되고 있어 자칫 ‘인터넷 대란’이 벌어질 수도 있다는 우려마저 낳고 있다.

정부는 현재 ‘주의’인 경보단계를 ‘경계’로 높이는 방안을 검토하는 등 다각적인 비상대책을 강구 중이다.검찰과 경찰,한국정보보호진흥원(KISA) 등 관계기관은 DDoS 공격이 시작된 이후 피해 사이트의 접속 기록과 DDoS 공격을 일으킨 악성코드에 감염된 PC 4대를 확보,진원지 추적에 수사력을 집중하고 있다.

안철수연구소는 9일 네이버 메일,다음 메일,파란 메일,행정안전부 전자정부사이트,국민은행,조선닷컴,옥션 등 7개 사이트에 대한 3차 공격이 이날 오후 6시부터 10일 오후 6시까지 예정된 것으로 분석했다고 밝혀 추가피해가 우려된다.

지난 8일 이뤄진 2차 공격은 해외 사이트가 많이 포함됐던 1차 공격과 달리 피해 사이트의 상당수가 국내의 보안 관련 사이트라는 점이 특징이며,1차 공격과 24시간 간격을 둔 것으로 분석됐다.3차 공격 역시 2차 공격과 24시간 간격이 있을 것으로 예상된다.

7일 접속을 할 수 없었던 백악관 등 미국의 14개 사이트와 국회,한나라당,외교통상부 등 6개 사이트의 접속은 현재 정상화됐다.

검찰과 경찰은 공격에 동원된 ‘좀비PC’를 추가로 확보하고자 피해 사이트의 IP(인터넷 프로토콜)주소 추적에 주력하고 있다.경찰 관계자는 “이번 수사에서 핵심은 악성코드가 유포된 경로를 추적하는 것”이라며 “최대한 많은 좀비PC를 확보해 이들 PC가 공통으로 방문한 사이트나 다운로드한 파일을 파악하는 방법으로 근원지를 추적할 계획”이라고 말했다.

경찰은 앞서 9일 새벽까지 “좀비 PC’ 4대를 확보해 이를 토대로 역추적하는 방식으로 유포자 색출에 주력하고 있으나 별다는 수사 성과는 거두지 못한 것으로 알려졌다.이번 DDoS 공격을 일으킨 악성코드의 변종이 생겨나고 있고,악성코드가 DDoS 공격을 수행하도록 명령제어하는 C&C(Command & Control) 서버가 없는 신종 방식이어서 근원지를 찾는 데 상당한 시간이 걸릴 것으로 관측된다.

정부는 악성코드에 감염된 좀비PC의 인터넷 접속 차단을 검토하는 등 비상대책을 강화하고 있다.방송통신위원회는 9일 오전 14개 주요 인터넷서비스사업자(ISP)와 회의를 갖고 2차 공격 과정에서 악성코드에 감염된 좀비PC 2만9000여대의 인터넷 접속을 차단하는 방안을 검토하기로 했다.또 인터넷 침해사고 경보 단계를 현재 보안을 강화해야 하는 수준의 ‘주의’ 등급에서 긴급 대응 태세를 갖춰야 하는 ‘경계’ 등급으로 올리는 방안도 적극 검토 중이다.

전날 대전ㆍ광주 통합전산센터에 DDoS 대응 종합상황실을 설치한 행정안전부도 정부부처 사이트에 대한 DDoS 공격을 24시간 모니터링해 실시간으로 차단하고 있다.

이해성 기자 ihs@hankyung.com