청와대와 네이버, 옥션 등 주요 인터넷 사이트들이 악성코드에 의한 DDoS 공격을 받아 서비스가 원활하지 않고 있는 가운데, 발견된 악성코드의 공격방식이 그동안 DDoS 악성코드와 방식이 달라 차단 방법이 쉽지 않은 것으로 알려졌다.

악성코드의 분석을 맡은 한국정보보호진흥원(KISA)은 이번 DDoS 공격에서 이용된 악성코드는 공격자가 없어 차단이 쉽지 않다고 설명한다. 그동안 주로 이용돼 왔던 DDoS 공격 봇넷은 공격자 서버에 의해 공격대상과 공격 명령을 수행하도록 돼 있지만, 이번에 발견된 악성코드는 설치되는 동시에 서버와의 접속 없이 즉시 공격을 수행하는 것으로 파악됐다.

따라서 그용안 DDoS 공격을 차단하기 위해 이용해왔던 공격서버를 차단하는 방법은 효과가 없는 것으로 전해졌다.

KISA측의 한 관계자는 “각 안티바이러스업체에 샘플을 보내 이번 DDoS 공격에 이용되는 악성코드에 대한 업데이트를 완료했다”고 밝히고 “PC 사용자는 신속하게 바이러스 검사를 통해 악성코드가 있는지 확인하고 악성코드가 발견될 경우 서둘러 치료를 해야한다”고 밝혔다.

이번 DDoS 사태를 해결하기 위해서는, 사용자와 더불어 망사업자, 관계기관의 공조가 필요해 보인다.

KISA 측은 현재 DDoS 공격의 트래픽이 KT나 LG데이콤 등의 인터넷서비스제공자(ISP)의 회선을 불안하게 만들 만한 규모는 아니지만 대상으로 등록된 사이트가 감당하지 못하는 수준이라고 설명한다. 따라서 첫 단계로 사용자들 스스로 바이러스 백신으로 악성코드를 찾아 트래픽을 줄이는데 주력할 방침이다. 만약 이런 노력에도 불구 공격 트래픽이 해소되지 않을 경우, ISP와 협조해 공격이 시도되는 PC의 사용자에게 연락해 조치를 취하거나 접속제한 하는 방법도 구상중이라고 밝히고 있다.

KISA는 현재 악성코드를 역추적 해 악성코드의 배포 근원지를 파악하기 위한 작업을 진행 중이며, 수사기관은 악성코드가 설치된 PC를 조사해 배포 경위와 방법 등 여러각도로 수사가 진행중인 것으로 알려지고 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>