읽는 재미의 발견

새로워진 한국일보로그인/회원가입

  • 관심과 취향에 맞게 내맘대로 메인 뉴스 설정
  • 구독한 콘텐츠는 마이페이지에서 한번에 모아보기
  • 속보, 단독은 물론 관심기사와 활동내역까지 알림
자세히보기
악성코드 더 교활해졌다
알림
알림설정

웹 알림 동의 (크롬브라우저만 가능)

알림
  • 알림이 없습니다

악성코드 더 교활해졌다

최연진 기자
입력
2011.03.04 17:32
0 0

[20개월 만에 또 '디도스 악몽'… 7·7대란과 다른 점은]서버에 직접 침투·명령 반복 수행… 과부하 유발백신 소프트웨어 자동갱신 방해 무력화시키기도

'지능화, 위력적인 공격력.' 이번 디도스 공격에 동원된 악성코드의 특징이다. 디도스 공격이 날로 교활해지고 있다. 백신을 무력화시키고 공격 대상인 서버를 꼼짝 못하게 만드는 등 파괴력도 커지고 있다. 이를 여실히 보여준 것이 4일 일어난 디도스 공격이다.

이번 디도스 공격을 시도한 악성 코드가 2009년 7.7 디도스 대란 때와 다른 점은 두 가지다. 공격 대상 사이트에서 운영하는 서버에 직접 명령을 내려 과부하를 일으키고, 백신 소프트웨어를 무력화시킨다는 점이다.

과거 7.7 디도스 대란 때 악성 코드는 주로 공격 대상 사이트에 과도한 접속 신호를 보내 사이트를 마비시키는 일에 주력했다. 그러나 이번 디도스 공격에 동원된 악성 코드는 과도한 접속 신호보다 아예 서버에 침투해 여러가지 명령을 내린다.

즉, 서버의 주기억장치(메모리)가 감당할 수 없을 만큼 각종 자료를 읽도록 만들거나 특정 명령을 반복해서 수행하는 식이다. 이렇게 되면 서버가 정작 이용자들이 원하는 일을 할 수 없어 사이트가 무용지물이 된다. 한국인터넷진흥원(KISA) 관계자는 "악성 코드가 지시하는 구체적인 수행 명령이 무엇인 지 알 수 없으나 서버가 오작동을 하게 만든다"며 "서버에 직접 명령을 내리면 파괴력이 커지기 때문에 굳이 많은 좀비PC가 필요없다"고 말했다. 적은 숫자의 좀비PC가 오히려 많은 숫자의 좀비PC보다 파괴력이 더 강해지는 셈이다. 그만큼 악성 코드가 지능화된 셈이다.

특히 일부 검색 사이트를 겨냥한 공격은 치명적일 수 있다. 현재 검색 사이트들은 사람들이 많이 찾는 검색어에 해당하는 결과를 미리 특정 서버에 저장해 놓고, 이용자가 검색어를 입력했을 때 바로 보여준다. 그런데 여기에 "특정 서버에서 검색 결과를 찾지 말고 모든 웹사이트를 새로 검색하라"고 명령을 내리면 검색 결과를 표시하는데 오랜 시간이 걸린다. KISA 관계자는 "네이버 다음 등 검색 포털을 겨냥한 이 같은 악성 코드의 공격 징후가 일부 발견됐다"며 "포털 측에서 새로 검색하라는 명령어를 잘라내는 방식으로 대응했다"고 설명했다.

백신 소프트웨어를 무력화 시키는 점도 7.7 디도스 대란 때와 비교했을 때 달라진 점이다. 방송통신위원회에 따르면 이번 악성 코드는 안철수연구소의 V3와 이스트소프트의 알약 등 백신 소프트웨어가 자동 갱신을 하지 못하도록 방해한다.

백신 소프트웨어는 항상 자동 갱신을 통해 최신 컴퓨터 바이러스와 악성 코드 정보를 새로 확보해 차단하므로, 자동 갱신을 하지 못하면 최신 컴퓨터 바이러스와 악성 코드를 막지 못한다. 악성 코드가 스스로를 보호하기 위해 백기사인 백신 소프트웨어부터 무장해제 시킨 셈이다.

이에 대한 해결책으로 방통위는 결국 전용 백신을 따로 만들었다. 전용 백신은 인터넷침해대응센터(www.krcert.or.kr)와 보호나라(www.boho.or.kr)에서 전송받을 수 있다. 7.7 디도스 대란 때처럼 이번 악성 코드 역시 기능을 스스로 개선한다. KISA에 따르면 이번 악성 코드는 7.7 디도스 대란과 동일한 드롭퍼를 이용한다. 드롭퍼는 여기 저기 흩어진 사이트에서 필요한 기능을 가져 오는 역할을 한다. 처음에는 몸체만 있다가 팔, 다리를 가져오고 공격에 필요한 창, 칼 등 무기를 가져와 기능을 개선하는 식이다.

악성 코드가 굳이 이렇게 복잡한 방법을 택한 이유는 추적을 피하기 위해서다. KISA 관계자는 "드롭퍼를 이용하면 처음에 악성 코드로 진단하기 어렵고, 찾아내더라도 여러 사이트에서 필요한 기능을 가져와 조합하므로 시간이 오래 걸린다"며 "이번 악성 코드는 미국 등 해외 여러 사이트에서 필요한 기능을 내려받아 조합했다"고 강조했다. 이 관계자는 "드롭퍼가 전송받은 사이트들은 모두 외국에 있다"며 "그러나 외국사이트들이 공격을 받은 흔적은 보이지 않는다"고 덧붙였다.

그만큼 이번 디도스 공격을 시도한 악성 코드는 완전 소탕에 시간이 걸릴 것으로 보인다. KISA 관계자는"이번 악성 코드는 총을 꺼내 쏘기 전까지 적인지 아군인 지 알 수 없는 베트콩 같은 존재"라며 "추가 공격을 계속 지켜보며 대책을 마련해야 할 것"이라고 말했다.

최연진기자 wolfpack@hk.co.kr

기사 URL이 복사되었습니다.

세상을 보는 균형, 한국일보Copyright ⓒ Hankookilbo 신문 구독신청

당신이 관심 있을 만한 이슈

LIVE ISSUE

기사 URL이 복사되었습니다.

댓글0

0 / 250
좋아요순 최신순 새로고침
댓글 신고
신고 사유를 선택해주세요.
약관동의
내용보기
내용보기

한국일보가 제공하는 다양한 형태의 이벤트 및 행사(포럼, 대회, 강연, 시상, 수상, 구독 등) 관련한 참여 정보를 추천·안내

한국일보가 회원을 위해 제공하는 뉴스레터 등 모든 뉴스 서비스(뉴스, 영상, 뉴스 서비스 기반 이벤트 및 프로모션, 새로운 포맷 콘텐츠) 등 추천·안내

이용약관 및 개인정보 처리 방침은 필수 항목 입니다.

선택 항목 미동의 시 뉴스 추천서비스 혹은 이벤트/행사 당첨 혜택에서 제외될 수 있습니다.

회원가입
  • 중복확인

    사용 가능한 아이디 입니다.

  • 3~10자 영문 대소문자, 숫자 및 특수문자를 사용해주세요.

  • 이름

  • 중복확인

    댓글 작성 시 필명이 노출 됩니다.

    사용 가능한 필명입니다.

필명
  • 중복확인

    댓글 작성 시 필명이 노출됩니다.

    사용 가능한 필명입니다.

이메일로 기사 공유하기

보내는 기사

악성코드 더 교활해졌다

받으실 분

여러사람에게 보낼 경우 메일주소는 세미콜론(;)으로 구분해 주세요.
(최대 5개)

보내는 분

  • 보내는 분의 이름을 입력해주세요.

  • 올바른 이메일 형식이 아닙니다.

전송 완료

기사가 메일로 전송 되었습니다.

중복 선택 불가 안내

이미 공감 표현을 선택하신
기사입니다. 변경을 원하시면 취소
후 다시 선택해주세요.

최연진 기자

산업부 IT전문기자
제보안내

제보자의 신분은 한국일보 보도 준칙에 따라 철저히 보호되며, 제공하신 개인정보는 취재를 위해서만 사용됩니다.

이메일 문의 : webmaster@hankookilbo.com

개인정보 보호를 위한 이용자 동의사항 (필수)

개인 정보 수집 및 이용 목적 : 회사는 수집한 개인정보를 제보 내용에 관한 확인 및 처리 등의 업무를 위해 수집, 이용하고 있습니다. 수집하는 개인정보 항목 - 이름, 이메일, 전화번호

제보하기
  • *최대 용량 10MB

개인정보 보호를 위해 익명 제보가 가능하며 실명인증을 하지 않습니다.
단, 제보자 연락 및 추가 취재가 필요하신 제보자는 연락처를 정확히 기입해주시기 바랍니다.