디도스 공격, 좀비PC 파괴로 전환방통위, 40國 729개서버 차단안전모드 부팅 후 백신 받아야
'3.3 디도스'가 발톱을 갈아 끼웠다. 인터넷 접속을 방해하는 훼방꾼에서 컴퓨터(PC)를 망가뜨리는 파괴자로 돌아선 것이다.
6일 방송통신위원회 및 안철수연구소 등에 따르면 이번 디도스 공격에 동원된 악성 코드는 이날 새벽에 원격 조정하는 공격 지령 서버(C&C)로부터 두 가지 명령을 새로 받았다. 악성 코드가 숨어있는 좀비 컴퓨터(PC)를 명령 받는 즉시 파괴할 것, 전용 백신을 내려 받을 수 있는 정부의 보호나라(www.boho.or.kr) 홈페이지 접속을 방해하라는 명령이었다. 보호나라는 한국인터넷진흥원(KISA)에서 우회 접속경로를 마련하고 추가 사이트(www.bohonara.or.kr)까지 새로 설치해 전용 백신을 내려 받는데 문제가 없다.
당초 악성 코드에 하드디스크 파괴 명령이 들어있긴 했지만 감염일로부터 4일째 또는 7일째 파괴하라는 명령이었다. 이를 공격자가 명령 받는 즉시 파괴하라고 실행일을 앞당긴 것이다. 실제로 이날 방통위와 안철수연구소에 62건의 하드디스크 파괴신고가 접수됐다. 안철수연구소 측은 명확한 원인 분석이 끝나지 않았으나 이번 악성 코드의 공격 탓으로 추정하고 있다.
이 점도 7.7 디도스 대란 때와 달라졌다. 7.7 디도스 대란 때에는 C&C로부터 명령을 새로 받으면 며칠 뒤 동작에 들어갔으나, 이번에는 즉시 실행으로 바뀌었다.
이에 따라 방통위는 악성 코드를 원격 조정하지 못하도록 러시아, 독일, 중국, 대만, 미국, 영국, 일본, 베트남 등 약 40개국에 흩어져 있는 C&C의 인터넷주소(IP) 729개를 파악해 차단했다. 하지만 공격자가 차단된 IP외에 새로 C&C를 설치해 다른 명령을 내릴 가능성이 높아 완전 근절이 힘들다. 안철수연구소 관계자는 "공격자가 새로운 C&C를 계속 확보해 명령을 내릴 수 있다"며 "보안당국과 끝없는 숨바꼭질을 하는 셈"이라고 말했다.
파괴 행위도 악랄해졌다. PC에 연결된 모든 내ㆍ외장 하드디스크를 망가뜨린다. 한 번 손상되면 복구할 수도 없다. 하드디스크는 PC 작동에 필요한 중요 소프트웨어가 들어있어서 파괴되면 사실상 PC를 못쓰게 된다. 방통위 관계자는 "이제는 악성 코드에 감염 되면 하드디스크가 즉시 파괴돼 백신 치료도 어렵다"며 "악성 코드에 감염되지 않도록 개인 대 개인(P2P) 파일 전송 사이트 이용 등을 최대한 자제해 달라"고 당부했다.
하드디스크 파괴를 막으려면 PC가 켜있는 경우 즉시 보호나라나 안철수연구소(www.ahnlab.com) 홈페이지에서 전용 백신을 내려 받아 실행해야 한다. PC가 꺼져 있으면 인터넷 연결선을 뽑은 다음 윈도XP는 F8, 윈도7은 F5를 눌러 고급 옵션에 들어가서 F8키를 눌러 안전모드를 실행한 뒤 다시 인터넷선을 연결해 전용 백신을 내려 받아야 한다.
방통위와 안철수연구소 등은 추가 디도스 공격 가능성이 낮은 것으로 보지만 또다른 파괴 행위를 벌일 가능성이 있다고 보고 있다. 특히 PC 사용이 적은 주말이어서 피해 확산이 적었지만, 7일부터 출근해 사무실 PC의 감염 사실을 모른 채 사용하면 피해가 확산될 수 있다. 한국인터넷진흥원(KISA) 관계자는 "PC 사용이 늘어나는 7일부터 공격자가 새로운 명령을 악성 코드에 내려 보낼 가능성이 있다"며 "따라서 전용 백신 등으로 악성 코드가 숨어 있는 좀비PC를 서둘러 없애는 것이 가장 중요하다"고 강조했다.
한편 보안 관계자들은 이번 디도스 공격을 유발한 공격자가 한국인일 가능성에 무게를 두고 있다. 보안업계 관계자는 "보호나라 등 정부 및 국내 보안업체들의 동향을 언론 등을 통해 빠르게 파악하고 움직이는 점으로 미뤄 볼 때 한국인 또는 한글을 아는 사람일 가능성이 아주 높다"며 "보안 기술을 아주 잘 아는 개인 또는 여러 명의 조직일 수 있다"고 언급했다.
최연진기자 wolfpack@hk.co.kr
기사 URL이 복사되었습니다.
댓글0