읽는 재미의 발견

새로워진 한국일보로그인/회원가입

  • 관심과 취향에 맞게 내맘대로 메인 뉴스 설정
  • 구독한 콘텐츠는 마이페이지에서 한번에 모아보기
  • 속보, 단독은 물론 관심기사와 활동내역까지 알림
자세히보기
20개월 만에 또 '디도스 악몽'…7·7대란과 다른 점은/ 악성코드 더 교활해졌다
알림

20개월 만에 또 '디도스 악몽'…7·7대란과 다른 점은/ 악성코드 더 교활해졌다

입력
2011.03.01 21:03
0 0

'지능화, 위력적인 공격력.' 이번 디도스 공격에 동원된 악성코드의 특징이다. 디도스 공격이 날로 교활해지고 있다. 백신을 무력화시키고 공격 대상인 서버를 꼼짝 못하게 만드는 등 파괴력도 커지고 있다. 이를 여실히 보여준 것이 4일 일어난 디도스 공격이다.

이번 디도스 공격을 시도한 악성 코드가 2009년 7.7 디도스 대란 때와 다른 점은 두 가지다. 공격 대상 사이트에서 운영하는 서버에 직접 명령을 내려 과부하를 일으키고, 백신 소프트웨어를 무력화시킨다는 점이다.

과거 7.7 디도스 대란 때 악성 코드는 주로 공격 대상 사이트에 과도한 접속 신호를 보내 사이트를 마비시키는 일에 주력했다. 그러나 이번 디도스 공격에 동원된 악성 코드는 과도한 접속 신호보다 아예 서버에 침투해 여러가지 명령을 내린다.

즉, 서버의 주기억장치(메모리)가 감당할 수 없을 만큼 각종 자료를 읽도록 만들거나 특정 명령을 반복해서 수행하는 식이다. 이렇게 되면 서버가 정작 이용자들이 원하는 일을 할 수 없어 사이트가 무용지물이 된다. 한국인터넷진흥원(KISA) 관계자는 "악성 코드가 지시하는 구체적인 수행 명령이 무엇인 지 알 수 없으나 서버가 오작동을 하게 만든다"며 "서버에 직접 명령을 내리면 파괴력이 커지기 때문에 굳이 많은 좀비PC가 필요없다"고 말했다. 적은 숫자의 좀비PC가 오히려 많은 숫자의 좀비PC보다 파괴력이 더 강해지는 셈이다. 그만큼 악성 코드가 지능화된 셈이다.

특히 일부 검색 사이트를 겨냥한 공격은 치명적일 수 있다. 현재 검색 사이트들은 사람들이 많이 찾는 검색어에 해당하는 결과를 미리 특정 서버에 저장해 놓고, 이용자가 검색어를 입력했을 때 바로 보여준다. 그런데 여기에 "특정 서버에서 검색 결과를 찾지 말고 모든 웹사이트를 새로 검색하라"고 명령을 내리면 검색 결과를 표시하는데 오랜 시간이 걸린다. KISA 관계자는 "네이버 다음 등 검색 포털을 겨냥한 이 같은 악성 코드의 공격 징후가 일부 발견됐다"며 "포털 측에서 새로 검색하라는 명령어를 잘라내는 방식으로 대응했다"고 설명했다.

백신 소프트웨어를 무력화 시키는 점도 7.7 디도스 대란 때와 비교했을 때 달라진 점이다. 방송통신위원회에 따르면 이번 악성 코드는 안철수연구소의 V3와 이스트소프트의 알약 등 백신 소프트웨어가 자동 갱신을 하지 못하도록 방해한다.

백신 소프트웨어는 항상 자동 갱신을 통해 최신 컴퓨터 바이러스와 악성 코드 정보를 새로 확보해 차단하므로, 자동 갱신을 하지 못하면 최신 컴퓨터 바이러스와 악성 코드를 막지 못한다. 악성 코드가 스스로를 보호하기 위해 백기사인 백신 소프트웨어부터 무장해제 시킨 셈이다.

이에 대한 해결책으로 방통위는 결국 전용 백신을 따로 만들었다. 전용 백신은 인터넷침해대응센터(www.krcert.or.kr)와 보호나라(www.boho.or.kr)에서 전송받을 수 있다. 7.7 디도스 대란 때처럼 이번 악성 코드 역시 기능을 스스로 개선한다. KISA에 따르면 이번 악성 코드는 7.7 디도스 대란과 동일한 드롭퍼를 이용한다. 드롭퍼는 여기 저기 흩어진 사이트에서 필요한 기능을 가져 오는 역할을 한다. 처음에는 몸체만 있다가 팔, 다리를 가져오고 공격에 필요한 창, 칼 등 무기를 가져와 기능을 개선하는 식이다.

악성 코드가 굳이 이렇게 복잡한 방법을 택한 이유는 추적을 피하기 위해서다. KISA 관계자는 "드롭퍼를 이용하면 처음에 악성 코드로 진단하기 어렵고, 찾아내더라도 여러 사이트에서 필요한 기능을 가져와 조합하므로 시간이 오래 걸린다"며 "이번 악성 코드는 미국 등 해외 여러 사이트에서 필요한 기능을 내려받아 조합했다"고 강조했다. 이 관계자는 "드롭퍼가 전송받은 사이트들은 모두 외국에 있다"며 "그러나 외국사이트들이 공격을 받은 흔적은 보이지 않는다"고 덧붙였다.

그만큼 이번 디도스 공격을 시도한 악성 코드는 완전 소탕에 시간이 걸릴 것으로 보인다. KISA 관계자는"이번 악성 코드는 총을 꺼내 쏘기 전까지 적인지 아군인 지 알 수 없는 베트콩 같은 존재"라며 "추가 공격을 계속 지켜보며 대책을 마련해야 할 것"이라고 말했다.

최연진 기자 wolfpack@hk.co.kr

기사 URL이 복사되었습니다.

세상을 보는 균형, 한국일보Copyright ⓒ Hankookilbo 신문 구독신청

LIVE ISSUE

기사 URL이 복사되었습니다.

댓글0

0 / 250
중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.