|
사상 초유의 사이버테러는 국내외 16개국에 설치한 중간기지를 활용해 시간차 공격을 시도하는 등 이전에는 볼 수 없었던 매우 지능적인 기법을 사용한 것으로 나타났다. 특히 단순한 분산서비스거부(DDoSㆍ디도스) 공격뿐만 아니라 개인PC의 하드디스크도 파괴하는 '양동작전'까지 펼쳤다. 이에 따라 정부와 보안업계는 앞으로 이보다 더 강력한 수법이 사용될 가능성도 있는 것으로 보고 대책 마련에 골몰하고 있다. ◇시간차 다면 공격 '파괴력 극대화'=이번 공격에서 가장 주목되는 것은 공격 방식이 매우 다양하게 바꾸면서 파괴력을 극대화해나갔다는 점이다. 해커는 지난 7일 1차 공격에서 단순히 디도스 공격만을 명령했다. 다른 곳에는 영향을 미치지 않고 단순히 대량의 트래픽을 정부나 공공기관ㆍ기업들의 서버에 집중시켜 홈페이지의 접속을 방해하는 공격만 한 것이다. 해커들은 이를 위해 국내외에 있는 세개 숙주사이트를 사용했다. 그러나 8일부터는 공격을 시간차 방식으로 전환했다. 방통위가 이 사이트들을 차단하자 기존 공격을 계속하기 위해 두개의 숙주사이트를 업데이트 서버로 활용하기 시작한 것이다. 더 이상의 추격을 막고 새로운 공격을 시도하기 위한 것으로 분석된다. 그리고 하루가 지난 9일에는 악성코드에 감염된 좀비PC가 스스로 자신이 가진 정보를 삭제할 수 있는 기능을 추가하기 시작했다. 단순히 디도스 공격만을 하던 좀비PC가 이제는 디도스 공격뿐만 아니라 자신을 파괴하는 '자폭' 기능까지 추가한 것이다. 이를 위해 해커는 국내외 16개국의 86개 사이트를 이용했다. 이와 관련, 보안업계의 한 관계자는 "이번 공격은 기존의 디도스와는 차원이 다른 파괴적인 바이러스"라며 "지금까지 겪어본 것 중 이런 방식은 하나도 없었다"고 말했다. 그만큼 해커의 공격이 집요하고 지능적이었다는 의미다. ◇공격 방식 기존과 정반대 '동일범 소행'=방송통신위원회와 정보보호진흥원은 세차례의 디도스 공격과 한차례의 PC 공격 등 총 네차례에 걸친 공격이 모두 '동일 해커'의 소행이라고 밝혔다. 3회에 걸쳐 숙주사이트를 바꾸기는 했지만 작동 방식이 모두 똑같이 이뤄졌기 때문이라는 것이다. 류찬호 정보보호진흥원 분석예방팀장은 "이전에는 좀비PC가 해커의 명령을 기다리는 (수동적인) 방식이었지만 이번 악성코드는 좀비PC가 스스로 해커를 찾아가도록 설계한 것"이라고 말했다. 이전과는 정반대의 경로를 거치고 있는 만큼 이를 분석하고 대책을 세우는 데 상당한 어려움이 있을 수밖에 없다는 얘기다. 또 1차와 4차 공격이 서로 다른 방식으로 전개되고는 있지만 기본적으로 악성코드의 근간을 이루는 것은 '디도스 공격'이라는 게 방통위 등의 설명이다. 좀비PC의 정보삭제 기능이 추가가 되기는 했지만 이것 역시 디도스 공격을 기반으로 한 '자폭'이라는 것이다. 류 팀장은 "이번 공격은 서로 다른 두가지 기능이 결합된 방식이기는 하지만 핵심은 디도스 공격"이라며 "악성코드를 유포하는 것으로 의심되는 5개 사이트와 정보삭제를 하는 86개 사이트를 차단함으로써 어느 정도 성과가 있을 것으로 본다"고 덧붙였다. ◇공격 재개 가능성… 업데이트 등 개인관리 철저히 해야=사이버보안 당국이 발견된 공격 루트를 차단했다고는 하지만 아직 위험이 완전히 사라진 것은 아니다. 현재는 잠잠해졌지만 언제 다시 해커들이 활동을 재개할지 아무도 모르기 때문이다. 일각에서 '일시적인 공백'이라는 표현이 나오는 것도 바로 이러한 연유에서다. 보안업계의 한 관계자는 "언제가 될 지 확신할 수는 없지만 공격이 완전히 중단됐다고 판단되지는 않는다"며 "지금은 언제 불씨가 활활 타오를지 아무도 모른다"며 경계를 당부했다. 이와 관련, 방통위는 상대적으로 보안이 허술한 PC방과 같은 곳이 공격의 또 다른 원인이 될 수 있다며 이에 대한 철저한 관리를 당부했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
