[보안뉴스 김정완] 지난 2009년 7.7DDoS대란을 일으킨 악성코드는 애초에 시스템 날짜를 2009년으로 인식하게 해 놓았기 때문에 1년이 지난 지금에서도 재차 공격이 감행된 것이란 주장이 제기됐다.

알약으로 널리 알려진 이스트소프트(대표 김장중)는 이번 공격의 경우 공격 트래픽이 약 1Mbps정도로 지난해 10G를 상회했던 공격 트래픽과 비교해 그 규모가 매우 적었지만 감염된 PC로부터 추출한 샘플을 분석해 본 결과, 작년과 동일한 DDoS 악성코드로 인한 재공격이었다는 것이 확인됐다고 밝혔다.

특히 이스트소프트는 이번 DDoS공격을 살펴보면서 크게 2가지가 그 원인이라고 설명했다.

우선 기존에 알려진 바와 같이 이번 공격에 사용된 좀비PC는 지난 7.7DDoS대란에서 사용된 좀비PC들이었다는 것이다.

이스트소프트는 KT망 관제센터와의 공조를 통해 2010년 이번 DDoS 공격에 사용된 좀비PC를 확보해 분석한 결과, 2009년 당시 7.7DDoS에 사용된 좀비PC가 치료되지 않은 채로  이번 DDoS공격에 다시 활용된 것을 확인했다.

이에 이스트소프트 관계자는 “2009년 7.7DDoS공격 당시에 보안업체와 정부기관에서 적극적으로 배포한 전용백신·무료백신 등을 통해 국내에 존재하던 대다수의 좀비PC들이 치료가 되었지만, 일부 좀비PC들이 치료되지 않은 채로 살아남아 이번 DDoS공격을 발생시켰다고 할 수 있겠다”며 “따라서 주변에 방치된 공용PC의 감염여부를 DDoS 전용백신 등을 통해 점검할 필요성이 있다”고 강조했다.

그렇다면 왜 당시 2009년 7월 7일이 공격날로 설정돼 있었을텐데, 1년이 지난 2010년에도 당시 감염된 좀비PC들이 DDoS공격을 감행할 수 있었던 것일까? 이에 대해 이스트소프트는 “7.7 DDoS 악성코드에서 시스템날짜를 무조건 2009년으로 인식하도록 만들어져 있었다”고 설명한다.

이번 DDoS공격은 악성코드 상에서 시스템의 날짜를 1분단위로 체크해 시스템 날짜가 2010년이던 2011년이던 관계없이 2009년으로 인식해 공격을 진행시켰다는 것.

이에 이스트소프트 관계자는 “2009년 7.7 DDoS 공격을 발생시킨 악성코드 상에는 정확한 년도와 날짜, 그리고 시간이 표기되어 있었기 때문에 모든 보안업체가 올해에도 동일한 공격이 이뤄질 것을 미리 예상하지 못했다”며 “악성코드가 교묘하게 구성돼 있어 미리 발견하지 못한 부분이지만 보안업체들로서는 반성이 필요한 부분”이라고 언급했다.

아울러 대부분의 좀비PC는 2009년 7.7DDoS대란 이후로 치료가 되었으나 아직 치료가 되지 않은 좀비PC들을 통해 올해도 작년과 동일한 형태로 동일한 시간에 공격이 이뤄지고 있다는 점에서, 물론 이번 DDoS공격 규모는 지난해와 같이 크게 문제를 일으킬만한 규모가 되진 못하지만 지난 7.7DDoS대란 공격대상 사이트에 대한 재공격이 거의 확실시 되고 있으므로 해당 사이트의 관리자들은 서비스 운영에 만전을 기울일 필요가 있겠다고 이스트소프트 측은 당부했다.

그리고 무엇보다 PC사용자들도 무료백신 혹은 전용백신 등을 통해 내 PC뿐만 아니라 주변의 PC들의 악성코드 감염여부를 확인하는 적극적인 노력이 필요하겠다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>