[디도스 공습] 누가 왜 공격했나

입력 2011-03-05 00:00

업데이트 2011-03-05 00:34

글씨 크기 조절
글자크기 설정

닫기

글자크기 설정 시 다른 기사의 본문도 동일하게 적용 됩니다.
- 가
- 가
- 가
- 가
- 가
프린트
공유하기
공유

닫기
- 페이스북
- 네이버블로그
- 엑스
- 카카오톡
- 밴드
https://www.seoul.co.kr/news/economy/IT/2011/03/05/20110305006018
URL 복사
댓글
14

첫 타깃 軍기관 집중 정치적 테러 가능성 北·中 해커 용의선상

4일 청와대 등 정부·공공기관과 민간기업 등 40개 사이트가 동시다발적으로 분산서비스거부(디도스·DDoS) 공격을 받으면서 배후에 관심이 쏠리고 있다. 특정 기관만 선별해 공격한 만큼 의도적인 테러라는 지적도 제기된다. 그러나 2009년 인터넷 대란을 일으킨 ‘7·7 디도스 공격’ 때와 마찬가지로 배후를 밝혀내기가 쉽지 않을 것으로 전망된다. 한국에 대한 사이버테러의 대부분이 중국을 경유하고 있다는 점에서 이번 디도스 공격도 중국을 경유했을 가능성이 높다는 관측이다.

●악성코드 대부분 中서 개발

정부와 보안업계에 따르면 이번 디도스 공격의 첫 징후는 군 관련 기관에 집중됐던 것으로 나타나 공격 배후에 대한 의혹이 증폭되고 있다.

군이 첫 공격 대상이었다는 점에서 정치적 목적에 따른 사이버 테러일 가능성이 적지 않다고 분석된다. 특히 중국 등 제3국에 해외 서버를 구축한 것으로 알려진 북한이 공격 배후일 수 있다. ‘훙커’로 악명을 떨치고 있는 중국 해커 그룹도 용의 선상에 있다. 국내에서 발생하는 디도스 공격용 악성코드의 상당수는 중국에서 개발되고 있다.

첫 공격 징후가 포착된 시점은 지난 3일 저녁 8시 30분. 국방부와 합동참모본부, 해군본부, 방위사업청 등 군 기관 4곳과 통일부, 국회 등 모두 6개 기관에서다. 이때부터 국가정보원과 국방부 사이버사령부, 한국인터넷진흥원(KISA)이 악성코드 수집 및 분석에 들어갔다.

최초 악성코드는 3일 오전 국내 웹하드 사이트인 쉐어박스와 슈퍼다운에서 유포된 것으로 밝혀졌다. 2차 공격은 4일 오전 10시에 청와대 등 정부·공공기관과 국민은행, 네이버 등의 민간기업을 포함해 29개로 파악됐다. 이날 오후 6시 30분에 재개된 3차 공격은 40개 사이트로 확대됐다.

그러나 이번에도 배후 추적이 여의치 않을 것으로 보인다. 최초 유포는 국내 사이트였지만 공격을 시달한 명령 서버가 해외에 있는 것으로 파악되고 있다. 지난해 6월 디도스 공격도 진원지가 중국이었지만 배후는 밝혀내지 못했다.

전 세계 13개 루트 도메인 네임 시스템(DNS) 서버가 공격받았던 2007년 2월에는 국내 PC가 경유지로 활용됐고 공격 진원지는 해외였다. 방송통신위원회 관계자는 “국정원과 국방부 사이버사령부 등이 공동 조사하고 있지만 배후를 파악하기는 쉽지 않다.”고 말했다.

●일부 금융기관 홈페이지 일시 중단

이번 디도스는 7·7대란 때보다는 규모가 작아 피해는 크지 않다. 당시 악성코드에 감염됐던 좀비PC는 11만 5000대였지만 이번 공격에 동원된 좀비PC는 2만 1000대로 추산되고 있다. 이날 오후 6시30분 공격도 피해가 미미했다.

정부 주요 부처도 디도스를 자동 차단해 큰 피해는 발생하지 않았다. 공격은 지속되고 있지만 실시간 감시로 방어하고 있기 때문이다. 정부 주요 부처 사이트를 관리하는 정부통합전산센터 관계자는 “외교통상부, 통일부, 행정안전부, 국가대표포털, 경찰청, 국세청, 금융위원회에 대한 공격이 있었지만 공격 시작과 동시에 이를 자동 차단해 사이트가 다운되는 등의 피해는 없었다.”고 말했다.

디도스 공격에 취약한 일부 사이트에서는 피해가 발생했다. 금융위원회 홈페이지가 오전에 접속이 잠시 중단됐고, 대신증권의 홈페이지도 일시 중단됐지만 홈트레이딩시스템(HTS) 피해는 발생하지 않았다. 국민은행, 신한은행 등의 시중 은행은 디도스 차단 장비를 가동해 인터넷뱅킹은 차질없이 운영됐다. 방통위와 KISA는 5일 오전 10시 45분 29개 사이트에 대한 디도스 공격이 있을 것으로 예상하고 있다.

안동환·이재연기자 ipsofacto@seoul.co.kr

[용어 클릭]

●디도스(DDoS) ‘분산 서비스 거부 공격’(Distribute Denial of Service attack)의 영문 약자로 특정 사이트나 서버를 무력화시키는 사이버 테러다. 다수의 컴퓨터를 일제히 작동시킨 후 대량 접속 신호를 유발해 공격 대상 사이트를 마비(네트워크 과부하, 접속 장애)시킨다.

●좀비PC 해커가 디도스(DDoS) 공격을 가하기 위해 악성 코드(바이러스)로 감염시킨 컴퓨터를 지칭한다. PC 사용자는 악성 코드에 감염된 사실을 모르는 경우가 대부분이며, PC는 해커에 의해 원격 조종된다.

2011-03-05 6면