DDoS '시한폭탄'…타이머 시점 예측 어려워


KISA "재발 대비해 상황 모니터링 강화"

지난 7월 7일 청와대 등 국내 주요사이트를 마비시켰던 분산서비스거부(DDoS) 공격 주체가 밝혀지지 않은 가운데 또 다른 DDoS 공격에 대비, 관련 업계가 긴장하고 있다.

특히 7.7 DDoS 대란이 타이머 기능을 활용, 특정 시간에 공격을 감행하도록 설계된 점을 감안해 8월 중 재발할 가능성도 배제하지 않고 있다.

또 트위터, 페이스북 등 유명 해외 소셜네트워킹서비스(SNS)사이트가 잇따라 DDoS 새로운 표적이 되면서 공격 시나리오 변경 여부에 관련업계는 촉각을 곤두세운 상태다.

10일 한국인터넷진흥원(KISA) 상황관제팀 신대규 팀장은 "최근 해외 SNS 사이트가 일제히 공격을 받으면서 국내 사이트에 대한 DDoS 공격 재발에 대비해 상황 모니터링을 강화하고 있다"며 "지난 8일 주말 별다른 이상 징후는 감지되지 않았지만, 타이머 기능을 활용하는 공격자 특성상 경계를 늦출 수 없는 상황"이라고 말했다.

지난 7.7 DDoS 대란이 미국의 백악관 등을 먼저 공격한 뒤, 국내 주요 사이트로 공격 대상을 전환했던 만큼 이번에도 비슷한 상황이 발생할 수 있다는 설명이다.

◆DDoS 대란 다시올까…국내 사이트 '긴장'

해외 유명 보안업체도 한국을 예의 주시하고 있는 상황이다. 시만텍, 포티넷, 맥아피 등 관련 업체는 한국과 미국에서 연이어 터지고 있는 DDoS 공격과 관련한 분석 보고서를 발표했다.

이들 업체는 공격자가 DDoS 대란에 악용할 좀비PC 확보를 위해 공격이 본격화된 7월 7일 두달 전인 5월부터 이미 바이러스 등을 사용자 PC에 감염시키는 사전 작업을 병행했다고 분석했다.

최근 방한한 통합위협관리(UTM) 전문업체 포티넷의 데렉 맨키 보안위협전문가는 "전세계 설치된 위협탐지시스템을 통해 분석한 결과, 한국과 미국을 대상으로 한 DDoS 공격의 주범은 마이둠 웜과 바이럿 바이러스"라며 "이 악성코드에 대한 국내 감염이 지난 5월 급증했다는 점이 근거"라고 설명했다.

마이둠 웜은 한 번에 대량의 이메일을 전송하는 매스 메일링(Mass-mailing) 웜으로 .zip, .exe, .bat와 같은 확장자명의 첨부파일로 확산된다.

데렉 맨키는 이어 "앞으로는 웹 2.0 플랫폼과 SNS 사이트, 모바일 등이 공격 타깃이 될 가능성이 높다"며 "정치·사회적 목적으로 이뤄지는 사이버 공격인 '핵티비즘'이 부상할 것"이라고 전망했다.

시만텍도 글로벌 보안 연구소 분석 결과를 국내 채널에 긴급 공지하고, 사이버 위협을 지속적으로 모니터링하고 있다.

시만텍 측은 "한국과 미국 정부를 대상으로 한 DDoS 공격에 사용된 악성코드는 마이둠 웜과 W32.도저로 확인됐다"며 "이메일 첨부파일을 사용자가 클릭하면 시스템 감염과 동시에 악성코드를 배포하기 위한 웜도 동시에 실행시키는 수법을 이용하고 있다"고 밝혔다.

또 다른 보안업체 맥아피는 최근 미국 라스베이거스에서 열린 세계 최대 보안 컨퍼런스 '데프콘'에서 자사 분석 결과 7.7 DDoS 공격 시점은 실제 5월 29일이었으며, 앞으로 더 큰 공격이 남아있을 가능성이 크다고 주장했다.

이에 대해 KISA 신대규 팀장은 "DDoS 공격에 악용된 악성코드를 사용자 PC에 심은 시점은 대략 5월로 추정된다"며 "현재 또 다른 공격 징후는 감지되고 있지 않지만, 타이머 기능이 내장됐을 경우에 대비, 을지훈련기간인 8월말까지 상황을 주의깊게 모니터링할 방침"이라고 말했다.

서소정기자 ssj6@inews24.com







포토뉴스