DDoS(분산서비스 거부) 공격을 받은 쇼핑몰,포털,은행들의 서비스가 일시적으로 중단되면서 이용자들의 불편도 늘어나고 있다.

하지만 정확한 원인과 배경을 알 수 없는 데다 악성 코드의 공격 양상도 매일 달라지고 있어 기업이나 일반인 모두 어떻게 대처해야 할지 혼란을 겪고 있다. 현재까지 파악된 악성 코드의 특성을 바탕으로 이번 DDoS 공격의 의문점을 풀어 봤다.


● 왜 '오후 6시 이후' 일까

배경을 알 수 없는 이번 사태와 관련해 사람들이 가장 궁금해하는 것은 매일 오후 6시를 기준으로 달라지고 있는 DDoS 공격 양상이다. 이 시간을 기준으로 웹사이트 공격이 시작되고,공격 대상도 바뀌고 있어서다.

전문가들은 해커가 개인 PC를 공격대상으로 집중 이용하기 위해 이 시간대를 활용하고 있다는 분석을 내놓는다. 오후 6~7시는 사람들이 회사나 학교에서 일을 마친 뒤 집으로 돌아와 PC를 사용하기 시작하는 시간이라는 것.기업 PC에 비해 상대적으로 보안 관리가 취약한 개인PC를 동원해 DDoS 공격 효과를 극대화시키려 했다는 설명이다.

한국의 오후 6시가 미국 동부 기준 오전 5시라는 점을 고려해 이번 공격이 미국에서 시작됐다는 분석도 나온다. 미국 시간에 중점을 두고 공격 계획을 짜다 보니 한국에서는 사람들이 모두 퇴근한 오후 6시에 공격을 시작했다는 견해다.

안철수연구소 관계자는 "서버에서 공격 대상을 원격 조정하는 기존 DDoS와 달리 이번 악성코드는 미리 정해진 계획에 따라 움직이는 방식이라 시간과 공격대상을 미리 정했을 것"이라며 "하지만 공격자의 전모가 파악되지 않아 정확한 배경은 아직 알 수 없다"고 말했다.


● 공격의도 뭘까

DDoS 공격은 해커가 자신의 실력을 과시하거나 돈을 노리기 위한 목적으로 발생하곤 한다. 반면 이번 공격은 뚜렷한 요구사항이 없다. 이때문에 이번 공격 의도에 대한 의견은 분분하다. 공통적으로 모아지는 견해는 이번 공격이 보안 취약점을 이용해 사회 혼란을 노렸을 것이라는 분석이다. 정부기관의 웹사이트와 보수 성향 언론 등을 주요 공격 대상으로 삼은 것으로 볼 때 북한이나 종북 세력 등이 가담했다는 해석이 나오는 것도 이런 이유에서다.

일각에서는 보안업체들이 장비 및 솔루션 판매를 높이기 위해 이번 공격을 기획했을 것이라는 추측도 제기된다. 하지만 이 같은 의문은 끝내 풀리지 않을 가능성도 있다. 기존 DDoS 사건 상당수가 인터넷주소(IP) 세탁 등으로 인해 범인을 찾지 못했기 때문이다. 인터넷보안업체 시만텍의 딘 터너 세계정보네트워크 국장은 "공격이 어디에서 시작됐는지,공격에 사용된 컴퓨터가 어디에 있는지 밝혀낼 수 있겠지만 그런 정보가 공격을 감행한 사람이 누구인지,목적이 무엇인지 알려주지는 못할 수 있다"고 설명했다.


● 내PC는 안전한가

방송통신위원회는 지난 7일 DDoS 공격이 발생한 후 이번 악성코드가 특정 사이트를 공격할 뿐 사용자 PC에는 악영향을 주지 않는다고 발표했다. 하지만 이틀이 지난 9일부터는 악성코드가 진화하면서 개인 PC에도 피해를 입히고 있다.

보안업체 잉카인터넷은 이번 악성코드 파일 중 일부에서 하드디스크의 데이터를 파괴하는 기능을 발견했다고 9일 발표했다. 지난 8일 저녁 2차 공격 시 이용된 '좀비PC'에 침투한 악성코드 중에는 이용자도 모른 채 대량의 스팸메일을 보내도록 하는 기능도 발견됐다.

외부 공격에만 이용되는 것으로 알려졌던 이번 악성코드가 자칫 사용자 PC에도 치명적인 손상을 줄 수 있다는 설명이다.

잉카인터넷 관계자는 "특정 웹 사이트를 대상으로 한 이번 공격이 일부에서는 악성코드에 감염된 개인 및 기업 PC의 중요 데이터들을 파괴하는 형태로 발전했다"며 "앞으로 예상치 못한 공격 형태로 발전할 가능성을 배제할 수 없는 게 문제"라고 말했다.


● 왜 쉽게 당할까

이번 악성코드 공격으로 피해를 본 곳 중에는 DDoS 장비를 갖춘 곳도 많다. 수억원을 들여 갖춘 장비가 제대로 역할을 하지 못해 장비 무용론도 제기되고 있다. DDoS 장비는 웹사이트에 들어오는 트래픽 중 악성코드를 찾아내 분류하는 역할을 맡는다. 얼마나 빠른 시간에 정확하게 악성코드를 분류해 내느냐가 장비의 성능을 좌우한다.

옥션이나 일부 은행이 이런 장비를 갖추고도 서비스 장애를 겪은 것은 이번 공격이 DDoS 장비 성능과 용량을 초과했기 때문이라는 분석이다. 또 악성코드가 한층 지능화돼 기존 장비로 이를 잘 걸러내지 못한 것도 원인으로 꼽힌다. LG CNS 관계자는 "기존 DDoS는 대규모 트래픽을 보내 네트워크를 마비시키는 형태였으나 이번 공격 유형은 정상적인 트래픽이 발생할 때와 모습이 비슷했다"고 말했다.


● 좀비PC 왜 계속 늘까

방통위가 발표하는 악성코드 감염 PC는 매일 늘어나고 있다. 지난 8일 오전에는 1만8000대였다가 오후에는 2만3000대로 늘어났고 9일에는 4만9600여대로 증가했다. 시만텍은 이번 공격에 최소 5만여대의 PC가 동원됐을 것으로 내다봤다. 좀비PC가 늘어나고 있는데 대해 전문가들은 이번 악성코드의 변종이 늘어나고 있는 것을 주된 이유로 꼽는다. 기존 백신으로 걸러지지 않는 새로운 변종 악성코드가 늘어나면서 감염자가 지속적으로 늘어났다는 설명이다. 김희천 하우리 사장은 "계속 변종이 나와 사전 방지가 어려워지고 있다"며 "앞으로 변종 악성코드가 크게 늘어날 것으로 예상돼 걱정"이라고 말했다. 김홍선 안철수연구소 사장은 "좀비PC 집계도 어렵고 악성코드도 꾸준히 전파되는 경향이 나타난다"고 말했다.

김태훈 기자 taehun@hankyung.com