DDoS(분산서비스거부) 사태가 지난 10일 3차 공격을 마지막으로 끝났다. 주말에도 이렇다할 비상사태는 벌어지지 않았다.  

 

아마 앞으로 이번 사태는 ‘7.7 DDoS 대란’으로 회자될 것이다.

청와대·국가정보원 등 정부기관을 비롯해 은행, 포털, 쇼핑몰 등 26개 주요 인터넷 사이트를 대상으로 7일 오후부터 매일 세 차례에 걸쳐 동시다발적으로 이뤄졌던 DDoS 공격이 중단되면서 이번 사태는 비로소 진정국면에 들어섰다.

마지막 공격 후 이틀이 지나는 동안 별다른 위협이나 공격 징후가 발견되지 않자 12일부터는 비로소 공격이 끝났다는 안도감이 커지고 있다.

방송통신위원회와 한국정보보호진흥원(KISA)는 11일 DDoS 공격트래픽이 대부분 소멸됐고 공격대상이 됐던 국내 사이트도 정상 가동중이라고 밝혔다.

그러나 악성코드 변종 출현 가능성에 대비해 방통위와 KISA, 보안업체들은 주말 동안 비상대응체제를 유지했다.  

PC 손상 피해신고 건수만이 주말 동안 928대(12일 오후 6시 기준)로 늘어났을 뿐 별다른 공격 징후는 아직도 발견되지 않고 있어 그나마 다행이다.  

예상보다 피해가 적었던 3차 공격이 발생했던 9일부터 보안업체들은 이미 악성코드 분석에 의해 4차 공격 가능성은 희박하다는 예측을 조심스럽게 내놓았었다.  

경찰과 검찰은 이번 공격에 이용된 좀비PC 21대를 확보하고 공격진원지를 파악하고 있지만  누가, 왜 이번 공격을 감행했는지 그 배후를 밝혀내는 것은 그리 쉽지는 않을 것으로 예상되고 있다.  

그러나 이번 사건으로 정부기관과 민간기업 등 우리나라 사이버 보안체계를 종합적으로 점검해 재정비하는 한편, 발빠르게 대처할 수 있는 일원화된 조직체계를 갖춰야 한다는 목소리가 높아지고 있다.   

언제든 주요 국가기관과 사회 기간망을 노린 DDoS 공격이 발생할 수 있기 때문이다.  

◆사상초유 DDoS 공격, 취약한 국가 대응체계=이번 사건은 ‘사이버테러형’ 공격에 의해 잇달아 중요 인터넷 서비스가 마비된 사상초유의 사건으로 기록될 전망이다.
 
주요 국가기관과 사회 기간망을 노린 사이버 공격에 우리나라 대응체계가 크게 취약하다는 점이 여지없이 드러났다.

정부기관의 보안 시스템뿐만 아니라 미국 등 해외 국가와 관계기관 간 공조체제, 사이버 위기상황에서의 우리나라의 조직체계 등 모든 면에서 그렇다.

이번 DDoS 공격은 국내에 앞서 미국 독립기념일에 맞춰 5일(현지시간 4일)부터 미국 백악관·워싱턴포스트 등 주요 인터넷 사이트를 대상으로 시작됐다.

미국 주요 사이트를 공격한 다수의 IP주소가 한국이었다는 점을 감안하면 미국 관계기관과 공조만 잘됐다면 7일부터 시작된 국내 공격은 미리 막을 수도 있었다고 볼 수 있다.  

보안업체 안철수연구소의 분석으로 9일 7개 사이트를 대상으로 감행된 3차 공격 피해는 적었지만, 7일과 8일 예상치 못한 1·2차 공격 대상이 된 사이트들은 대부분 여지없이 서비스가 중단되거나 지연되며 무너졌다.

7일 오후 6시부터 우리나라 사이트를 대상으로 공격이 시작돼 청와대, 조선일보 등의 사이트가 마비되기 시작했지만 방송통신위원회가 ‘주의’ 경보를 발령한 시간은 다음날인 8일 오전 8시쯤이었다.

그 후에도 새로운 상황이 발생할 때마다 방통위, 국가정보원 등과 협의 과정을 거치며 상황에 대한 신속한 정보공유는 늦어졌다.

8일 정부 차원에서 사이버안전 실무회의, 긴급 12개 관계부처 차관회의가 열렸지만 구체적인 대응책은 마련하지 못했고, 10일에서야 국무총리 주재 국가정책조정회의에서 정부 차원의 사이버안전 안건을 올릴 수 있었다.

국가안보망은 물론이고 금융망이 마비될 수 있는 국가 위기 상황에서 사이버 안보를 책임지는 국정원과 방통위는 서로 다른 목소리를 내거나 정확하지 못한 정보를 제공해 국민을 혼란에 빠지게 했다.     

10일 이같은 혼란은 극에 달했다.

방통위는 이날 독일, 오스트리아, 미국, 그루지야, 한국의 5개국에서 5개 DDoS 공격을 유발하는 악성코드 숙주 사이트를 발견해 차단했다고 발표했다.

같은 날 국정원은 국회 정보위원회 간담회에서 16개국 86개 IP를 통해 DDoS 공격이 이뤄졌다고 했고, 경찰청도 악성코드를 유포한 IP 86개를 발견했다고 밝혔다.

결국 5개 IP는 DDoS 공격용 악성코드를 유포한 숙주사이트이며, 86개는 하드디스크 손상하는 악성코드를 유포하는 숙주사이트 IP인 것으로 정리됐다.

국정원은 DDoS 공격이 발생한 지 하루 만에 북한 배후설도 거론했다. 민간 보안전문가를 포함해 방통위와 검찰조차도 DDoS 공격 진원지도 찾지 못한 상태에서 “이번 공격이 북한 소행이라는 근거를 찾기는 어렵다”면서 국정원 발표에 신중한 태도를 취했다.  
 
그 때문에 전문가들은 이번 DDoS 공격 피해 실태 파악과 대응 과정을 지켜보면서 ‘컨트롤 타워’ 부재로 인한 혼선을 빚었다고 지적하고 있다.  

◆언제든 예상된 사태, 안일한 대처=DDoS 공격은 2~3년 전부터 보안 분야 최대 이슈였다.

민간기업이 운영하는 인터넷 사이트를 대상으로 협박성 DDoS 공격이 잇달아 벌어지고, 공격 받은 사이트는 몇시간, 혹은 며칠 동안 서비스 장애나 지연되는 상황이 발생해 엄청난 손해를 입었다. 그 때문에 DDoS 공격은 심각한 사회적인 문제로 떠올랐다.

그 때문에 은행과 금융정보보호센터(옛 금융ISAC), KISA를 주축으로 금융·통신 분야, 정부통합전산센터가 DDoS 대응체계를 구축하기 위한 사업을 벌이기도 했다.

일단 공격이 가해지면 막는 것은 쉽지 않기 때문에 DDoS 공격은 가장 해결하기 힘든 보안 위협으로 지적됐고, 그 위력 때문에 정치 이슈나 사이버 전쟁에 이용되는 사례까지 여러차례 나타나면서 국가 차원의 DDoS 대응체계 마련에 대한 필요성이 제기돼 왔다.

행정안전부는 지난 7월 마련한 ‘정보보호 중기 종합대책’에서 2012년까지 국가 핵심 전산망 17개 분야와 시도 전산망에 DDoS 대응시스템을 구축한다고 발표했었다.

지난 4월에는 행안부와 국정원, 방통위가 함께 최근 급속히 증가하는 DDoS 공격에 대응하기 위해 행정·보건의료·금융 등 국가 10대 핵심전산망, 시·도별 전산망, 주요정보통신서비스제공자의 인터넷구간에 DDoS 대응시스템을 구축하는 것을 주요 내용으로 하는 종합대책을 수립하겠다고 국무회의에 보고한 바 있다.

그러나 세 기관 간의 공조에 따른 DDoS 종합대책은 마련되지 않았다.

다만 방통위와 KISA, 행안부와 정부통합전산센터 등에서 자체적으로 대응체계 구축 사업을 추진했다.

DDoS 공격이 발생한 지 이틀 뒤인 9일 국무총리실 주재로 열린 12개 부처 사이버테러 긴급 관계부처 차관회의를 통해 정부는 200억원의 추가예산을 편성해 올해 중 보건의료, 교육, 과학, 에너지, 증권, 특허, 관세, 방위산업, 국회 등 9개 분야에 DDoS 공격에 대응할 수 있는 트래픽 분산장비를 설치한다는 계획을 발표했다.

국방부는 2012년께나 ‘사이버사령부(가칭)’ 창설을 추진해보겠던 계획을 내년 1월로 앞당긴다고 밝혔고, 기획재정부는 ‘재정경제 사이버보안센터’ 구축을 연내 구축한다고 발표했다.

결국 뒷짐지고 있다 사고가 터진후 부랴부랴 앞다퉈 나서는 모습으로 비춰질 수밖에 없다.


◆이용자 보안의식 높이는 계기=뒤늦게 보안체계를 점검·재정비하고 대응시스템을 위한 예산 조기확보에 나선다는 정부 모습이 한심하지만 결과적으로는 다행스런 일임 것은 틀림없다. 더 큰 사고, 더 무서운 위기상황이 발생하기 전에 만반의 대비책을 마련할 수 있게 됐기 때문이다. 

정부뿐만 아니라 PC이용자들도 자기 PC의 보안관리를 철저히 하는 것이 얼마나 중요한지 새삼 느끼는 계기가 됐다.

DDoS 공격은 그 특성상 사전에 완벽히 공격을 탐지해 방어하기란 현실적으로 쉽지 않다는 것이 전문가들의 분석이다.

현재로선 가장 효과적인 해결책은 DDoS 공격 근원지로 악용되는 감염된 ‘좀비PC’ 수를 최소화하는 것이다.

수 천, 수 만대 이상의 PC 보안수준을 계속적으로 정부가 관리할 수 있는 현실적인 방안이 부재하기 때문에 이용자 스스로 백신 설치, 실시간 감시, 최신 업데이트, 운영체제(OS) 보안패치 등 PC의 보안상태 유지가 가장 중요하다.

더욱이 이번 공격은 그 특성상, 사실상 악성코드 유포 사이트를 차단하는 것과 동시에 DDoS 공격에 이용된 좀비PC를 없애는 것이 최선의 방법으로 통했다.

이번 공격은 보안에 취약한 대량의 PC를 악성코드에 감염시켜 특정 사이트를 대상으로 일시에 공격을 가하는 전형적인 DDoS 방식을 이용했지만, 원격지에서 좀비PC에 명령을 내리는 C&C(명령·제어) 서버 없이 악성코드에 미리 공격 대상목록과 시간을 정해놓고 나중엔 자폭토록 한 면에서 진화된 공격형태를 띤 것으로 분석됐다.  

KISA 관계자는 “오히려 좀비PC가 숙주 서버를 찾아 공격 대상목록 등을 가져가는 능동화된 형태가 나타났고, DDoS 공격 자체만이 아니라 하드디스크 손상과 같은 별도의 악성행위까지 결합시켰다”고 설명했다.  

대개 좀비PC와 통신해 명령을 내리는 C&C 서버만 찾으면 곧바로 공격을 중단시킬 수 있지만, 이번에는 악성코드에 감염된 PC를 치료해야만 공격을 중단시킬 수 있어 대응이 쉽지만은 않았다는 것이 관계기관의 설명이다.

방통위·KISA와의 공조로 4대 주요 인터넷서비스사업자(ISP)인 KT, SK브로드밴드, LG데이콤, LG파워콤은 11일까지 DDoS 공격에 이용된 것으로 추정된 IP(PC) 7만7800여대 중 97%에 대한 조치가 완료된 것으로 파악하고 있다.  

그간 백신을 사용하지 않거나 보안관리에 소홀했던 PC 중에서 DDoS 공격 사태가 발생한 4~5일이라는 짧은 시간 동안에 가장 많은 수의 무료 백신이 설치됐을 것으로 예상된다.

<이유지 기자> yjlee@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
삼성, 2018년 ‘3년 180조원 투자·4만명 고… 삼성, 2018년 ‘3년 180조원 투자·4만명 고…
  • 삼성, 2018년 ‘3년 180조원 투자·4만명 고…
  • 삼성, 집중호우 피해복구성금 30억원 기부
  • LG전자, “커피도 마시고 공기청정기도 체험…
  • [단독] 삼성전자 ‘갤노트20’ 보상판매 확…