며칠째 국내 주요 사이트들에 대한 디도스(DDoS: 분산서비스거부) 공격이 이뤄지고 있다. 청와대와 국회 같은 사이트는 물론 시중은행과 포털사이트까지 공격을 받다 보니 불안해 하는 사람들이 많다. 디도스 공격은 무엇이며 다른 해킹과는 어떻게 다르고 일반 사용자는 어떻게 대비해야 하는지 문답으로 알아본다. 편집자 주
Q) 디도스 공격과 해킹은 같은가, 다른가.
A) 디도스 공격도 넓은 의미의 해킹에 포함될 수 있다. 하지만 일반적으로 좁은 의미의 해킹은 목적 서버에 해커가 직접 침투해 정보를 훔치거나 파일 등을 변형시켜 놓는 것을 의미한다. 반면 디도스 공격은 특정 인터넷 사이트에 접근하는 트래픽의 양을 늘려서 병목현상을 만들고, 정상적인 접속이 어렵도록 하는 방식이어서 접속 중단 이외에 다른 피해가 생기지는 않는 게 보통이다.
예를 들어 잠시 동안 은행 사이트가 접속이 되지 않았다고 해서 고객의 계좌 정보가 빠져 나가는 것은 아니다. 따라서 A 사이트가 이 같은 피해를 입었다면 '해킹을 당했다'고 하기보다는 '디도스 공격을 당했다'고 하는 게 더 정확한 표현이다.
Q) '좀비PC'란 무슨 뜻인가.
디도스 공격을 하려면 혼자서 여러 PC를 동원해 대량의 트래픽을 발생시켜야 한다. 이를 위해 해커는 평범한 사람들의 PC에 자기 마음대로 조종할 수 있는 디도스 공격용 프로그램을 설치한다. 이 같은 프로그램은 주로 인터넷 익스플로러로 특정 사이트에 방문했을 때 자동으로 프로그램을 설치할 수 있는 액티브X(ActiveX) 기술을 이용해 배포되거나, 이메일 또는 인스턴트 메신저의 첨부파일을 통해 전파되기도 한다.
겉으로는 멀쩡해 보이는 프로그램에 이 같은 악성 프로그램을 숨겨놓는 경우도 있다. 이런 방식으로 PC의 주인도 모르는 사이에 악성 프로그램이 설치되면 이 컴퓨터는 좀비PC가 된다. 그러다 해커의 지시를 받는 명령서버가 악성 프로그램으로 하여금 특정 사이트를 공격하라고 하면 공격을 시작한다.
Q) 디도스 공격은 방법이 단순한데 왜 방어하기 어렵다고 하는가.
A) 디도스 공격은 쉽게 얘기하면 2차선 도로에 갑자기 차가 밀려들어 꽉 막힌 것과 비슷한 현상이다. 따라서 웹사이트 운영자가 방어를 하려면 평소엔 2차선 도로로 운영하더라도 문제가 생기면 서버와 회선 등을 임시로 8차선 도로로 늘릴 수 있도록 방어 장비를 갖춰둬야 한다. 그러나 이런 장비는 도입 단가가 높은 것은 물론 평소에도 상당한 유지보수 비용을 필요로 한다. 따라서 은행이나 증권사 등 금융권에서는 이 같은 투자를 상시적으로 하고 있지만 소규모 기업에서는 그 같은 투자를 하기 쉽지 않다.
Q) 내 PC가 현재 디도스 공격을 수행하고 있는 '좀비PC'인지 알아보려면 어떻게 해야 하나.
A) 운영체제로 마이크로소프트(MS) 윈도를 사용하는 PC의 경우 '시작→실행'을 눌러 나오는 칸에 'cmd' 명령어를 쳐서 커맨드 창을 띄운다. 여기에 'netstat -n' 명령어를 치면 현재 접속 중이거나 막 접속을 끊은 사이트의 IP 주소가 뜨는데, 이 IP 리스트 중 이번에 공격 대상이 된 사이트가 있는지 살펴본다. 해당 사이트의 IP 주소를 모르면 'nslookup 사이트주소' 형태로 치면 IP 주소를 얻을 수 있다. 방문한 사이트 목록에 문제 사이트가 없다면 좀비PC가 아니라고 할 수 있다. 물론 잘 알려진 보안업체의 최신 백신 프로그램으로 검사하는 것도 필요하다.
Q) '좀비PC'가 되지 않기 위해 예방하는 방법은.
A) 보안업체들은 매일같이 새로운 악성 프로그램을 발견하고 분석해 이를 제거하는 백신 프로그램을 업데이트한다. 이 프로그램을 매일 업데이트하고 실시간 감시 기능을 켜 두면 된다. 그렇다고 백신 프로그램만 설치했다고 완전히 예방할 수 있는 것은 아니다.
백신 제조업체는 이미 확산된 악성 프로그램 샘플을 채취하고 분석해 이를 검사한 뒤 치료 파일을 만든다. 따라서 백신 프로그램의 데이터베이스에 없는 새로운 악성 프로그램이 나오면 언제든지 '좀비PC'가 될 수 있다. 결국 아무 사이트에서나 파일을 다운 받거나 설치하지 않아야 이를 예방할 수 있다. 잘 아는 사람이 보낸 이메일이나 인스턴트 메신저의 첨부파일을 열 때도 항상 상대방에게 먼저 안전한 파일인지 확인할 필요가 있다.
한편 회사의 전산ㆍ보안 담당 부서는 사내 PC 어느 한 곳에서라도 이상 신호가 발생하지 않는지 항상 모니터링하고, 한 PC가 감염됐을 때 다른 PC로 전파되지 않도록 철저한 방어 체계를 갖춰야 한다.
최진주 기자 pariscom@hk.co.kr
기사 URL이 복사되었습니다.
댓글0