‘긴박했던 9일 상황’···10일 ‘충격적인’ 인터넷 대란 현실화 되나

지난 9일 오후 6시로 예정됐던 DDos 3차 공격은 그 피해 상황이 적었으나, DDos 공격 악성코드가 10일 0시부터 실행되는 감염된 PC의 하드디스크를 스스로 삭제할 가능성이 제기돼 충격을 주고 있다. 이에 따라 10일에는 말 그대로 ‘충격적인’ 인터넷 대란이 현실화될 수 있다는 우려가 제기되고 있다.

◇예상외로 미미했던 3차 공격

9일 오후 6시로 예고됐던 DDoS 3차 공격의 피해 상황은 예상보다 저조했다. 네이버 메일, 다음 메일, 파란 메일, 조선일보, 옥션, 행정안전부 전자민원사이트, 국민은행 등 DDos 3차 공격 대상으로 지목됐던 사이트들은 약간의 접속장애만 있었을 뿐, 대부분 정상화됐다.

한편 3차 공격이 진행되는 동안 네이버의 뉴스캐스트에서 조선일보 사이트로 직접 접속되지 못 하기도 했다. 조선일보 사이트가 아닌, 네이버 뉴스화면으로 접속이 되기도 했었다.

안철수연구소는 9일 오후 6시부터 국민은행과 다음 e-메일 등이 DDoS 3차 공격의 대상이 되고 있음을 확인했다. 2차 공격 대상 웹사이트로는 트래픽이 줄었다. 아울러 DDoS 공격용 악성코드 중 일부는 하드디스크를 손상시키고 데이터를 파괴하는 등 PC에 치명적인 손상을 일으킬 수 있다고 밝혔다.

한국정보보호진흥원(KISA) 역시 9일 오후 6시께부터 예고된대로 3차 DDoS 공격이 시작됐다고 밝혔었다. 네이버 메일, 다음 메일, 파란 메일, 조선일보, 옥션, 행정안전부 전자민원사이트, 국민은행 사이트가 대상이다.

앞서 국민은행 관계자는 “3차 공격을 받고 있다. 평소 15만 정도 거래량이 있는데, 30만 정도가 한꺼번에 몰렸다”며 “처음엔 다소 거래 지연이 있었지만 현재 정상화된 상태”라고 전했다. 옥션 관계자 역시 “초기 3차 공격을 받는지 여부를 확인하기 위해 접속하는 누리꾼들이 많아 오히려 접속이 지연됐었지만, 현재는 접속 장애가 없다”고 밝혔다.

다음 관계자는 “오늘 아침부터 2차 공격의 여파로 접속에 약간의 장애가 있었다. 오후 6시 이후에 전날 트래픽의 최대 2배 정도가 몰려 막고 있는 상태”라며 “한 치 앞도 내다볼 수 없는 상태다. 좀 더 지켜봐야 알 수 있을 것”이라고 전했다.

◇적절한 대응으로 3차 공격은 잘 막아

이번 3차 공격의 경우 비교적 잘 대처했다는 것이 보안업계의 시각이었다. 3차 공격에 대해 조속하게 예고돼 업체들이 회선을 늘리는 등 잘 대처했기 때문이다. 보안업계 관계자는 “잘 대응 중인 것 같다. 예상보다 피해 규모가 크진 않은 상태”라고 말했다.

아울러 방송통신위원회와 한국정보보호진흥원, 각 통신사, 정보보안업체들이 국민들을 상대로 적극적인 홍보를 한 것도 피해를 줄일 수 있었던 요인으로 꼽혔다.

방송통신위원회와 한국정보보호진흥원(KISA)은 지난 9일 동시다발적 분산서비스거부(DDoS) 공격과 관련, 악성코드에 감염된 ‘좀비PC’ 2만9000대에 대한 인터넷접속을 차단하는 방안을 검토하기도 했다. 방통위는 이날 오전 9시부터 KT와 SK브로드밴드, LG데이콤 등 14개 초고속인터넷망 사업자 임원들과 긴급회의를 열고 DDoS 공격 대응 방안을 논의했다.

인터넷서비스제공자(ISP) 역시 분산서비스거부(DDoS) 공격에 대응하기 위해 비상 감시체제에 돌입했었다.

KT는 DDoS 공격에 따른 ‘종합대책 상황실’을 가동하고, 관련 정부기관과 보안업체 등과 협력했다. KT IDC와 전용회선 고객 중 공격을 받고 있는 회사에 대해서는 ▲국제구간 및 타 ISP를 통해 유입되는 유해 트래픽 차단 ▲피해 사이트에 대한 클린 존 이관 ▲공격 유형 및 추이에 대한 지속 모니터링을 실시하고 있다고 알렸다.

또 공격에 악용된 악성코드 감염PC를 사용중인 고객 8590명들에게는 8일 오후 7시30분부터 인터넷 연결시 팝업 공지사항이 뜨도록 했다. 팝업 안내에 따라 KT가 무료로 제공하고 있는 백신프로그램(쿡닥터)을 설치, 악성코드를 치료할 수 있다.

SK브로드밴드도 서울 서초구 IDC에 ‘종합대책상황실’을 운영하고, 트래픽 등의 상황을 주시했다. SK브로드밴드는 8일 오후부터 감염 PC로 인지된 고객들을 대상으로 TM을 실시, 백신검사와 마이크로소프트(MS) 최신 업데이트를 권고하고 있다. SK브로드밴드는 초고속인터넷 서비스 ‘브로드앤인터넷’ 가입자를 대상으로 백신프로그램인 ‘V3 플래티넘’ 무상으로 제공하고 있다. 이 밖에도 홈페이지와 하나포스닷컴에 DDoS 주의 안내 공지를 하고 있다.

LG파워콤도 경기 안양 중앙네크워크운영센터와 서울 강남 네트워크운영센터에서 특별 감시체계를 운영했다. 속도저하 고객 점검시에도 백신설치를 유도, 치료를 시행하고 있다. 또 초고속인터넷 트래픽 모니터링을 강화, 좀비PC 의심 고객에게 해당사실을 공지하고 백신 배포와 치료를 강화 중이다.

◇경찰도 그 진원지 추적에 박차

경찰 역시 지난 9일 사이트 해킹에 이용된 '좀비PC'를 추가로 확보하고 수사를 벌였다. 경찰청 사이버테러대응센터는 "서초동 PC방에 설치된 2대의 좀비PC를 추가로 확보했다"며 "악성코드가 유포된 경로를 추적하는데 수사력을 집중하고 있다"고 밝혔다.

이에 따라 경찰은 추가로 확보한 좀비 컴퓨터의 과거 사이트 방문 이력 등을 교차 대비해 공통점을 찾아내고 이를 토대로 해커가 숨겨놓은 악성코드에 컴퓨터가 감염된 경로를 역추적했다. 경찰 관계자는 "총 6대의 좀비PC를 확보해 이번 해킹의 근원지를 파악하고 있다"고 말했다.

한편 경찰의 IP 추적결과 DDoS 1차 공격에 좀비PC가 2만대 이상, 2차는 1만6000대가 동원된 것으로 추산됐다.

◇10일 0시 기해 '전혀 새로운 국면'

이 같은 순조롭던 상황은 10일 오전 0시를 기해 완전히 달라졌다. 방송통신위원회와 정보보호진흥원의 긴급발표가 있었던 것. 방송통신위원회와 정보보호진흥원(KISA)은 10일 0시부터 감염된 좀비PC들이 스스로 하드 디스크를 삭제할 가능성이 예상된다고 긴급 발표했다.

앞서 안철수연구소에 따르면 이번 DDos 3차 공격용 악성코드 중 일부가 변종을 일으켜 하드디스크를 손상시키고 데이터를 파괴하는 등 PC에 치명적인 손상을 일으킬 수 있는 것으로 나타났었다. 1, 2차 공격에서는 DDoS 공격의 매개체가 된 수만 개의 이른바 '좀비PC'들의 시스템 자체에는 큰 이상이 없는 것으로 알려졌던 바 있다.

이런 손상을 불러일으키는 악성코드는 msiexec1.exe(진단명 Win-Trojan/Downloader.374651)로 하드디스크의 물리적인 첫 시작 위치에 'Memory of the Independence day'라는 문구를 이용해 치명적인 피해를 입힌다고 안철수연구소는 분석했다.

방통위는 이에 대한 대비책으로 10일 이후 PC를 켤 때에는 안전모드로 부팅할 것을 권장했다. PC 전원위치를 누른 직후 F8키를 계속 누르면 된다. 그후, 날짜를 하루 이전으로 변경하고 PC를 재부팅한 뒤 백신으로 점검해야 한다.

아울러 악성코드에 감염될 것이 우려되는 이용자들은 주요 백신업체 홈페이지를 접속해 최신 백신소프트웨어를 설치 또는 업데이트하고 바이러스 검사를 실시해야 한다. 또 KSA 인터넷침해사고대응지원센터는 기술적인 지원이 필요한 인터넷 사용자에게 인터넷침해사고대응지원센터 전문상담 직원의 도움(전화 118)을 받을 수 있다고 밝혔다.

시스템관리 솔루션업체 아크로니스도 이에 대한 대비책을 제시했다. 아크로니스는 홈페이지(http://www.acroniskorea.co.kr/homecomputing/download/trueimage/)에 접속, 트루이미지 체험판을 무료로 내려 받을 수 있도록 했다.

이를 PC에 설치한 후, 마법사 형식의 매뉴얼에 따라 실행해 데이터와 각종 프로그램 등 모든 시스템을 백업해 이미지를 생성한다. 이를 만들어 놓은 후, 다시 첫 화면에서 마법사 형식의 매뉴얼에 따라 CD 또는 USB 메모리에 '응급 복원 미디어'를 생성한다.

만약 자신의 PC에 피해가 생겼다면 생성된 응급 복원 미디어(CD 혹은 USB)로 부팅해 아크로니스 시스템 복원 모드로 진입 한 다음, 미리 백업해둔 이미지를 불러와 피해가 생긴 이전의 날짜로 시스템을 되돌리면 된다.

서호익 아크로니스아시아 마케팅·채널담당 상무는 "앞으로도 시스템 자체를 노리는 악성코드들이 계속 출몰할 것"이라며 "긴급백신 패치 등은 사태가 확산된 후에 배포되기 때문에 개인 및 기업이 입는 피해는 어마어마한 수준이다. 특히 개인 PC에서는 기업용보다 상대적으로 이런 사태에 취약할 수 밖에 없다"고 지적했다.

보안업계 관계자는 "DDos 3차 공격이 잠잠해지나 싶더니, 다시 엄청난 충격을 주고 있다"며 "이에 사용자들은 반드시 안전모드로 부팅한 뒤 날짜를 하루 이전으로 변경해야 한다"고 강조했다.

◇6개 숙주사이트 제거했지만, 방심은 금물

그나마 다행인 점은 6개의 숙주사이트를 제거했다는 점이다. 10일 정부와 보안업계는 미국 등 해외 서버 4곳과 활동이 멈춘 악성코드를 다시 활성화시키는 서버 2곳을 숙주사이트로 지목, 차단조치를 내렸다.

그동안 보안업계는 전파경로의 불명확성을 들어 심각한 추가 피해를 우려했었다. 하지만 숙주사이트를 제거함에 따라 해결을 향한 가닥을 잡을 수 있을지 주목되고 있다.

이와 동시에 아직 방심은 금물이라는 목소리도 나오고 있다. 숙주사이트가 완전히 제거됐다고 보기 힘들기 때문이다. 이번 DDos 공격을 조종하는 이가 다른 숙주사이트를 가지게 된다면 또 다시 재발할 것은 불보듯 뻔하기 때문이다.

이에 따라 엄청난 수의 하드디스크가 한번에 삭제되는 사상 초유의 인터넷 대란이 벌어질 것이라는 우려가 나오고 있다. 보안업계는 그 가능성에 대해 "충분하다"는 반응이다. 애초에 장기화 조짐이 보였지만, 하드디스크를 스스로 삭제하는 경우라면 그 피해는 엄청날 것이라는 분석이다.

앞으로의 상황에 온 국민의 이목이 집중되고 있다.

◇주요 백신업체 홈페이지

▲안철수연구소전용백신(http://home.ahnlab.com)

▲하우리 전용백신(http://www.hauri.co.krl)

▲바이러스체이서 전용백신(http://www.viruschaser.com)

▲알약 전용백신(http://alyac.altools.co.kr)

▲네이버 PC그린 전용백신(http://security.naver.com)

▲잉카인터넷 전용백신(http://www.inca.co.kr)