청와대 등 40개 웹사이트 ‘디도스 공격’ 배후는?

[재경일보 김상고 기자] 청와대 등 국가기관과 국민은행 등 금융기관, 네이버 같은 주요 웹사이트들에 대한 대한 분산서비스거부(디도스:DDoS) 공격이 발생했다. 그렇지만 범행의 배후는 쉽게 밝혀지지 않을 것으로 전망된다.

4일 안철수연구소 등에 따르면 이날 오전 10시부터 국내 40개 웹사이트를 대상으로 디도스 공격이 발생했다. 아울러 이날 오후 6시 30분에는 추가 공격이 예정된 것으로 알려졌다.

악성코드 유포된 경로는 국내 P2P 사이트인 쉐어박스인 것으로 밝혀졌지만 누가 해킹을 어떠한 의도로 시작했는지는 파악되고 있지 않은 상황이다.

범인은 이들 사이트를 해킹해 쉐어박스 업데이트 파일에 악성코드를 삽입, 지난 3일 오전 7∼9시에 유포한 것으로 추정되고 있다. 안철수연구소에 따르면 V3 이용자 중 이번 공격에 동원된 좀비PC의 수는 4300대 정도인 것으로 추정된다.

◆ 범인 찾기 어려워

이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 이후 1년 8개월만의 일이다.

보통 디도스 공격은 특정 사이트 한두 곳을 대상으로 공격을 감행, 금전을 요구하는 경우가 많지만 사이버 테러를 목적으로 공격을 가하는 경향이 강해지고 있다. 실제로 7.7 대란 당시에 해커는 국가 주요기관과 주요기업체의 홈페이지를 마비시키고도 아무런 요구도 하지 않았다.

이에 따라 디도스 수법 특성상 '좀비PC'를 통해 공격이 이뤄진다는 점, 금전 요구나 특정 목적이 아직까지 드러나지 않았다는 점에서 이번 디도스 공격사건에서도 범인을 찾기 어려울 전망이다.

디도스 공격은 해커들이 자신의 PC를 사용하지 않고 악성코드를 유포, 이에 감염됨 불특정 다스의 좀비PC를 이용해 공격을 감행하기 때문이다.

특히 지금까지 디도스 테러의 범인이 잡힌 경우는 거의 없었다. 그나마 잡혔더라도 기술적인 이유라기 보다는 금품을 요구하는 과정에서 꼬리를 밟힌 경우가 대부분이다.

◆ 좀비 PC 진단과 예방

디도스 공격은 악성코드에 감염된 좀비PC를 이용한 해킹수단이기 때문에 개인들이 자신의 PC가 좀비PC로 악용되고 있는지 여부를 진단, 악성코드를 제거해야 추가피해를 막을 수 있다.

해커들이 디도스 공격을 위해 유포하는 악성코드의 파일용량이 수십 KB에 불과, 이용자는 감염이 되더라도 평소와 큰 차이를 느끼지 못한다는 게 업계의 설명이다.

그렇지만 다른 사이트를 공격하는 데 활용될 뿐 아니라 스팸메일 발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치 등 2차 피해에도 노출 될 가능성이 큰 만큼 상시적인 진단이 필요하다. 따라서 백신프로그램으로 감염 상태를 진단해 악성코드를 제거하는 것만이 유일한 해결책이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등으로 알려졌다.

안철수연구소의 긴급 전용백신(www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)은 온라인에서 무료로 다운받을 수 있다.