이번 DDoS공격은 지난 1·25대란 시 웜바이러스에 의한 불특정 다수 공격과는 달리 특정 목표를 지정해 대규모 공격을 단행했다는 특징이 있다. 과거에는 자신의 실력과시 등을 위해 개인이 은밀히 공격도구를 개발·유포하고는 숨어버리는 경우가 대부분이었으나, 2006년 이후 인터넷증권·쇼핑몰·게임업체 등을 대상으로 사이버위협을 시도한 후 금품을 요구하는 ‘사이버조폭’형태로 발전한데다 이번 공격은 국가기관 홈페이지에 대해 대규모 사이버공격을 단행한 것으로 특정조직 및 국가차원에서 치밀하게 준비 실행됐다는 것이 국정원 국가사이버테러대응센터 측의 설명이다.

■ 공격기법, 웜바이러스에서 분산공격 도구화로 변화·발전

특히 이번 DDoS공격기법은 웜바이러스에서 분산공격의 도구화가 이루어졌다는 점에서 주목할 만하다. 웜바이러스는 과거 개인 PC 등의 자료를 단순 파괴하는 수준에서 최근에는 해커에 의해 조정되는 사이버 공격도구로 진화된 것이다. DDoS공격은 해커가 웜바이러스를 제작·유포해 다수의 좀비 PC를 확보한 후, 해커가 지정한 대상에 대규모 공격을 수행하게 된다. 이에 국정원은 “좀비 PC는 웜바이러스에 감염, 해커에 의해 원격지에서 조정 가능한 PC로 전세계 950만대가 넘으며 이중 일평균 인터넷에 연결된 PC는 75,00대 규모”라고 설명하고 있다.

한편 이와 관련 국정원은 DDoS공격에 대해 순차적으로 ▲정보입수(DDoS 공격 피해신고 접수, 공격수행 악성코드 채증) ▲분석(악성코드 분석, 악성코드 유포지·공격명령 조종지 파악) ▲전파(통신사업자에 유포지·조종지 IP 차단 요청) ▲대응(해커의 명령 전달체계 무력화, DDoS공격 차단) ▲소멸(악성코드 제거용 백신 제작·배포, DDoS 공격 소멸) 이상 5단계의 대응절차를 가지고 있다.

■ 국내 좀비 PC 일평균 4천6백대 이상이 즉시 DDoS공격에 이용 가능

현재 다양한 연구기관 또는 보안업체에서 봇넷의 규모를 분석해 보고하고 있지만 저마다 상이한 결과가 나타나고 있는 실정이다. 이에 국정원은 현존하는 봇넷 관련 통계자료 중 신뢰성과 영향력이 큰 시만텍사의 ‘2008 인터넷 보안 위협 보고서’를 빌어, “2008년 전세계 악성코드에 감염된 PC 수는 950만대가 넘으며, 이중 일평균 인터넷에 연결된 PC는 75,000대 규모로 분석”된다며 “즉 하루 평균 7만5천대 좀비 PC가 DDoS공격 등에 악용이 가능한 상태”라고 말했다.

우리나라의 경우 한국정보보호진흥원이 인터넷 일부 구간에서만 탐지한 결과, 2009년 5월 현재 총 14만여대의 PC가 악성코드에 감염됐고, 이는 일평균 4,600대 이상이 공격에 즉시 이용 가능하며, 탐지구간을 확대할 경우 실제 규모는 이보다 훨씬 클 것으로 예측하고 있다.

한편 국내에서는 지난 2003년 1월 25일 발생한 1·25대란을 위시해 DDoS공격은 게임아이템 거래 사이트 공격(2007.11), 7시간 동안 웹사이트를 마비시키며 금품을 요구한 증권사 홈페이지 공격(2008년 3월), 촛불시위 당시 한나라당, 뉴라이트 전국연합 홈페이지 공격(2008.6) 등 끊이지 않고 발생하고 있어 이에 대한 대비책 마련이 시급한 상황이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>