피해신고 40여건 접수

국내 주요 사이트에 대한 분산서비스거부(DDos) 공격 나흘째인 10일 DDoS 악성코드에 감염된 좀비PC의 고장 신고가 잇따르는 등 피해가 확산하고 있다.

엄청난 혼란을 일으켰던 사이트 마비 대신 신종 악성코드가 실행돼 좀비PC를 파괴하는 쪽으로 공격 형태가 바뀌면서 사이버테러 사태는 새 국면을 맞고 있다.

9일 7개 사이트를 대상으로 실행된 3차 공격에서는 트래픽 양이 1, 2차보다 적은데다 일부 대상 사이트가 웹상 주소(URL)를 바꾸는 방식으로 공격을 막아 손실 규모를 크게 줄일 수 있었다.

더구나 방송통신위원회가 DDoS 공격의 진원지로 볼 수 있는 숙주사이트를 발견, 접속을 차단한 덕에 공격 대상 사이트의 피해가 진정 국면으로 돌아섰다는 전망도 나온다.

◇ 좀피PC 피해신고 속출 = 안철수연구소는 이날 0시를 기해 신종 악성코드가 실행되며 좀피PC를 파괴할 수도 있다고 분석했다.

이 악성코드는 하드디스크를 자동 포맷해 컴퓨터 내 모든 저장정보를 삭제하거나 문서파일 등에 자동으로 암호를 걸어 압축하는 방식 등으로 좀비PC를 파괴한다는 것이다.

실제로 오전 8시까지 한국정보보호진흥원(KISA)에는 자동포맷으로 하드디스크의 모든 파일이 삭제돼 컴퓨터 부팅이 아예 이뤄지지 않는 피해 신고가 33건이나 접수됐고 안철수연구소 등 보안업체에도 6건의 신고가 들어왔다.

국가정보원도 이날 오전 6시 현재 좀비PC 가운데 전문가용 고급 프로그램을 쓰는 26대의 컴퓨터가 파괴된 것으로 파악했다.

KISA에 따르면 컴퓨터 전원을 누른 직후 F8 키를 계속 눌러 안전모드로 부팅한 다음 날짜를 하루 이전 등으로 변경해야 하며, PC를 재부팅한 뒤 최신 백신으로 점검하고 나서 사용해야 한다.

하지만 컴퓨터 사용자는 자신의 PC가 감염됐는지를 알 수 없어서 이러한 방식을 따르지 않으면 수만대로 추산되는 좀비PC들이 치명적 손상을 입어 자칫 `PC대란'으로 이어질 수도 있는 상황이다.

◇4차 공격 징후는 없어 = 정부나 통신·보안업계에 따르면 이날 오전 9시30분 현재까지 4차 공격의 징후는 나타나지 않고 있다.

여기에 9일 오후 시작된 3차 공격의 강도가 1, 2차에 못 미쳐 이번 사이버테러 사태가 진정 국면으로 접어들었다는 분석이 조심스럽게 나오고 있다.

방통위가 한국과 미국, 독일, 오스트리아, 그루지야 등 5개국에 산재한 DDoS 공격 숙주사이트를 찾아내 접속을 차단한 것도 효과를 보고 있다는 분석이다.

정부 측 관계자는 "추가 공격에 대한 증거가 아직 발견되지 않은 상황에서 숙주사이트 차단 등의 효과로 상황이 진정될 것이다"라고 말했다.

◇정부ㆍ통신업계 대응 = 방통위는 이번 사태와 관련 KT 등 정보통신서비스제공자(ISP)에 좀비PC의 제한적 인터넷 접속 차단을 요청했다.

또 인터넷 침해사고 경보단계는 일단 `주의'를 유지하고 있지만, 상황이 악화할 경우 `경계' 등급으로 상향조정하는 방안을 검토 중이다.

ISP 사업자들도 악성코드 감염 PC를 사용하는 가입자에 대해 백신프로그램 업그레이드나 치료를 적극적으로 안내하는 한편 비상대책반을 구성해 악성코드 분석 작업을 벌이는 등 대응책 마련에 부심하고 있다.

좀비PC의 IP 차단 여부는 자율적으로 결정할 수 있지만 ISP 사업자들은 방통위와 잇따라 협의를 하고 차단 여부에 대한 최종 방침을 결정할 예정이다.

◇ 경찰, 악성코드 업데이트 서버 4개 확보 = 경찰은 악성코드 속에 숨어 있는 특정 파일이 국내외 86개 사이트 서버에서 좀비PC 파일을 파괴하는 기능을 업데이트 받았으며, 86개 중 5개는 한국에 있다는 사실을 확인했다.

경찰은 한국에 있는 서버 중 서울과 인천 등에서 4개의 서버를 확보해 정밀 분석 중이다.

경찰 관계자는 "86개 서버의 주소는 악성코드 안에 적혀 있던 것으로, 86개 서버 중 가짜일 가능성도 있다"고 말했다.

경찰은 이 서버에 대한 분석을 통해 이번 DDoS 공격의 진원지를 역추적할 계획이다.

하지만, 업계에서는 이번 사건의 범인을 잡는 것이 거의 불가능하다고 입을 모으고 있다.

애초 범인들이 중간제어서버를 사용하지 않는 데다 조직적으로 범행을 설계하고 좀비PC 파괴로 악성코드 샘플 수집을 막는 등 수사망을 피하기 위한 대책까지 치밀하게 세워놓았기 때문이다.

한편 국정원은 이날 오전 국회에서 열린 정보위원회 간담회에서 이번 사이버테러가 북한 또는 추종세력에 의해 감행된 것으로 추정된다고 발표했다.

국정원은 북한 조국평화통일위원회의 `사이버스톰' 비난성명서 발표와 공격 대상이 보수단체라는 점 등으로 미뤄 이같이 추정했다.

(서울연합뉴스) 박성민 기자 min76@yna.co.kr