분산서비스거부(DDoS) 공격에 따른 트래픽이 11일 오전부터 소멸되면서 주말 고비를 넘어 악성코드가 재활성화할 가능성에 이목이 쏠리고 있다.

방송통신위원회와 한국정보보호진흥원(KISA)이 이날 DDoS 공격으로 인한 트래픽 증가가 정상 수준을 회복했다고 밝히면서도 여전히 비상체제를 유지하고 있는 것도 만약에 모를 악성코드의 재활성화 가능성 때문이다.

특히 이번 주요 정부기관 및 기업 사이트를 공격한 `좀비PC'의 악성코드는 공격, 자폭 등 명령을 담은 파일이 분리돼 있는 등 고난도의 변종이어서 재활성화 가능성을 배제하기가 어려운 상황이다.

방통위 관계자는 "통상 DDoS 봇은 C&C의 조종을 받는데 이번 봇은 스스로 업데이트도 하고 자체 파괴도 하는 융합형 악성코드"라고 말했다.

한 보안 전문가는 "얼마나 잘 자신을 은폐하느냐가 해커 수준을 측정할 수 있는 기준이 된다"면서 이번 악성코드의 은폐 수준이 매우 높다고 평가했다.

이번 사이버공격에서도 1.2차 공격에 참가한 악성코드는 자신의 경로를 스스로 삭제했고, 3차 공격을 유발한 악성코드는 아예 감염PC의 저장데이터를 파괴하는 방식으로 자신을 은폐했다.

여기에 해킹세력이 맘먹기에 따라서는 이보다 더 강력한 신종 악성코드로 4차 공격을 감행할 공산도 남아 있다.

세 차례에 걸친 공격이 한국의 IT인프라에 대한 시험용 공격일 수 있다는 것이다.

그러나 현재로선 4차 공격이나 변종 출현의 징후는 보이지 않고 있다.

황철증 방통위 네트워크정책국장은 "현재 악성코드 분석결과 3차 공격이 마무리되면 자체 삭제하고 끝내는 것으로 파악하고 있고 변종 코드도 발견되지 않았다"고 말했다.

게다가 현재 데이터 자동파괴에 따른 PC 손상 건수가 미신고분을 감안하더라도 예상보다 낮은 수치인 점도 이번 DDoS 사태가 종료된 것이 아니냐는 추정을 가능케 하고 있다.

이날 오후 6시 현재 정보보호진흥원에 접수된 PC 손상 신고건수는 544건이다.

정보보호진흥원은 악성코드를 담은 2만3천대의 `좀비PC'로부터 22종의 악성코드 샘플을 확보, 분석한 결과 아직까지 추가 공격 메시지를 담은 파일을 발견치 못하고 있다.

정보보호진흥원 관계자는 "22종의 악성코드 샘플이면 대부분의 종류를 확보한 것으로 보이지만 확보치 못한 다른 악성코드 샘플에 또다른 공격명령이 숨어있을 수도 있어 긴장을 늦추지 않고 있다"고 말했다.

황 국장도 "변종이 나타나 다시 공격이 이어질 가능성을 배제치 않고 있다"며 "4차 공격이 없다고 장담할 수 없는 상황"이라고 덧붙였다.

이상헌 정보보호진흥원 선임연구원은 "향후 DDoS 사태의 진전은 PC 사용자가 사전에 스스로 얼마나 백신 치료를 했는지가 관건이 될 것"이라고 말했다.

(서울연합뉴스) 정주호 기자 jooho@yna.co.kr