좀비 PC 1만여개가 공격, 마비사태 재연 우려
좀비 PC의 인터넷접속 차단하는 길밖에 없어
7일 저녁 청와대와 국회 등 주요 정부기관사이트와 일부 포털 등 국내 11개 사이트를 공격해 접속장애를 일으킨 분산서비스거부(DDoS) 공격에 관심이 모아지고 있다.
DDoS는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.
정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.
DDoS는 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포시켜 이 프로그램에 감염된 PC, 이른바 좀비PC는 표적 사이트에 반복적으로 접속하게 된다.
이번 DDoS 공격은 25개 사이트를 공격하도록 설계된 악성코드가 각 개인의 PC에 심어진 뒤 공격이 시작된 것으로 파악됐다. 공격 리스트가 처음부터 설정됐던 것이다.
25개 사이트중 국내 것은 청와대, 국회, 국방부, 한나라당, 조선일보, 외교통상부, 옥션, 농협, 신한은행, 외환은행, 네이버 등 11개이고 그외 나머지는 백악관 등 해외 사이트이다.
중간 명령제어 서버가 좀비PC에 특정 사이트에 대한 공격 명령을 내린 뒤 이뤄지는 일반적인 DDoS 공격 방식과는 다르다.
한국정보보호진흥원(KISA) 관계자는 "애초 특정 사이트에 대한 공격 명령이 악성코드에 심어진 경우는 이번이 처음"이라고 말했다.
정부 주요 기관의 경우 DDoS 공격에 대한 방어 장비를 갖추고 있지만, 이번 공격에서는 효율적으로 대처하지 못한 것으로 보인다.
한 보안 전문가는 "방어장비가 있더라도 공격을 쉽사리 막기는 어렵다"면서 "장비도 중요하지만 운영자가 효율적으로 공격을 분산시켜 방어하는 것도 필요하다"고 말했다.
DDoS 공격으로 인터넷 서비스에 장애가 발생하면 이를 복구하는 것도 쉽지 않다. 각 PC에 심어진 악성코드가 치료되기 전까지는 공격이 계속될 수 있기 때문이다.
특히 이번 공격의 경우 좀비PC가 1만대 정도로 추정되는데, 각 개인이 PC를 치료하기 전까지는 통신사업자가 IP가 파악된 좀비PC의 인터넷접속을 차단하는 방법밖에는 공격을 원천적으로 제거할 수 없다.
한편 DDoS는 2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 DDoS(Distributed Denial of Service)의 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인들에게 알려지기 시작했다.
2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 분산서비스거부(DDoS) 공격 방법으로 마비시키는 웜바이러스 `코드레드'의 변종인 `코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.
코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.
2003년 1월에는 DDoS가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발시켜 사실상 인터넷 대란이 발생했었다.
2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 DDoS 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.
DDoS는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.
정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.
DDoS는 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포시켜 이 프로그램에 감염된 PC, 이른바 좀비PC는 표적 사이트에 반복적으로 접속하게 된다.
이번 DDoS 공격은 25개 사이트를 공격하도록 설계된 악성코드가 각 개인의 PC에 심어진 뒤 공격이 시작된 것으로 파악됐다. 공격 리스트가 처음부터 설정됐던 것이다.
25개 사이트중 국내 것은 청와대, 국회, 국방부, 한나라당, 조선일보, 외교통상부, 옥션, 농협, 신한은행, 외환은행, 네이버 등 11개이고 그외 나머지는 백악관 등 해외 사이트이다.
중간 명령제어 서버가 좀비PC에 특정 사이트에 대한 공격 명령을 내린 뒤 이뤄지는 일반적인 DDoS 공격 방식과는 다르다.
한국정보보호진흥원(KISA) 관계자는 "애초 특정 사이트에 대한 공격 명령이 악성코드에 심어진 경우는 이번이 처음"이라고 말했다.
정부 주요 기관의 경우 DDoS 공격에 대한 방어 장비를 갖추고 있지만, 이번 공격에서는 효율적으로 대처하지 못한 것으로 보인다.
한 보안 전문가는 "방어장비가 있더라도 공격을 쉽사리 막기는 어렵다"면서 "장비도 중요하지만 운영자가 효율적으로 공격을 분산시켜 방어하는 것도 필요하다"고 말했다.
DDoS 공격으로 인터넷 서비스에 장애가 발생하면 이를 복구하는 것도 쉽지 않다. 각 PC에 심어진 악성코드가 치료되기 전까지는 공격이 계속될 수 있기 때문이다.
특히 이번 공격의 경우 좀비PC가 1만대 정도로 추정되는데, 각 개인이 PC를 치료하기 전까지는 통신사업자가 IP가 파악된 좀비PC의 인터넷접속을 차단하는 방법밖에는 공격을 원천적으로 제거할 수 없다.
한편 DDoS는 2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 DDoS(Distributed Denial of Service)의 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인들에게 알려지기 시작했다.
2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 분산서비스거부(DDoS) 공격 방법으로 마비시키는 웜바이러스 `코드레드'의 변종인 `코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.
코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.
2003년 1월에는 DDoS가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발시켜 사실상 인터넷 대란이 발생했었다.
2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 DDoS 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>
