러시아 사이버테러리스트들이 일주일 전부터 키르기스스탄에 DDoS 공격을 쏟아 붓고 있는 한편, 키르기스스탄의 인터넷 제공업체들은 피해 축소를 위해 고군부투하고 있는 것으로 알려졌다.

미(美) 아틀란타 주재 시큐어웍스(SecureWorks Inc.)에 따르면 키르기스스탄의 정부 및 기업들과 미군 부대를 대상으로 한 DDoS 공격이 지난 18일(현지 시간)일부터 시작돼 지금까지 계속 되고 있다.

현재 진행 중인 이 공격은 키르기스스탄의 대부분 지역을 오프라인 상태로 만들어놓았으며 키르기스스탄 내 미 공군 기지의 이메일도 불능 상태로 만들었던 것으로 알려졌다. 이번 공격은 벌써 7일 이상 키르기스스탄 내·외부의 넷 트래픽 대부분을 완전히 차단시켰을 만큼 강력한 위력을 보이고 있다.

이와 관련해 해외 언론들은 이른바 러시아 사이버 무장단체(cybermilitia)가 키르기스스탄의 인터넷을 마비시켜버렸다며, 특히 이번 공격을 통해 이들은 지난 해 전 소비에트 연방 그루지야를 공격했을 때보다도 훨씬 민첩하게 행동할 수 있음을 보여주고 있다고 보도했다.

한편, 시큐어웍스는 키르기스스탄의 인터넷 서비스 제공업체(이하 ISP)들은 “대규모의 지속적인 서비스 분산 공격”에 시달리고 있다며 이번 공격에는 지난해 8월 그루지야에 사이버 공격을 가했던 것으로 여겨지는 러시아 민족주의 지지자들의 특징이 나타나고 있다고 보인다고 주장했다.

키르기스스탄에 대한 DDoS 공격에 관해 시큐어웍스의 위협 정보팀 팀장 돈 잭슨(Don Jackson)은 “우리가 수집한 트래픽은 그루지야 공격에 사용됐던 툴의 모든 특징을 갖고 있었다”며 “또한 그것은 모두 동일한 IP 주소의 네트워크에서 온 것으로 지난해의 사이버 테러와 연계된 것으로 보인다”고 밝혔다. 또한 키르기스스탄에 공격을 쏟아 붓고 있는 드론(원격 조작 기구)의 대다수가 러시아에 위치해 있었다고 덧붙였다.

현재 공격이 계속되고 있는 가운데 키르기스스탄의 ISP들은 지난 48시간 동안 중요 고객들의 서버를 다른 IP 주소로 재배치하고 유해 트래픽을 차단하도록 고안된 소스 필터링으로 알려진 기술을 도입하는 등 손상을 완화하기 위한 노력을 기울이고 있는 것으로 알려졌다. 그러나 키르기스스탄의 정부 단체와 일부 미디어 단체들의 도메인에 대한 피해는 여전히 암울한 상태지만, 키르기스스탄 도메인 등록 서비스 등은 이와 관련해 어떠한 공식적인 대응도 하지 않고 있다.

이번 키르기스스탄에 대한 DDoS공격과 지난해 그루지야를 대상으로 한 공격이 정치적인 동기일 것이라는 추측과 더불어 동일한 점이 많은 것으로 알려졌으며, 다만 그루지야 DDoS공격에서 보였던 광범위한 지원이 이번 키르기스스탄에 대한 공격에서는 나타나지 않았다는 점이 차이점으로 지적되고 있다. 그루지야 공격에는 러시아 소셜 네트워크가 관련되어있었던 것으로 알려졌다.

한편, 이번 키르기스스탄 사이버 공격이 사이버 전쟁의 분수령이 될 지도 모른다는 우려가 이어지고 있다. 아직 연구자들은 이 공격에 러시아 정부가 개입되어있다는 증거는 발견하지 못 한 것으로 알려졌지만 키르기스스탄에 대한 이번 공격은 사이버 공간에서 벌어지는 지정학적 분쟁의 가장 대표적인 사례가 되었기 때문이다.

지난 몇 년간 국가간의 사이버 분쟁이 증가하고 있으며, 대표적으로 지난 2007에는 에스토니아에 대한 러시아 해커들(로 추정되는)의 사이버 공격이, 지난해에는 앞서 언급한대로 그루지야 정부 웹사이트와 CNN에 대한 중국 해커들의 공격이 있었다. 

※ 키르기스스탄(Kyrgyzstan) : 중앙아시아 국가로 정식명칭은 키르기스스탄 공화국이다. 그루지야와 마찬가지로 소련이 붕괴되면서 1991년 분리 독립하였으며 독립국가연합의 일원이다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>