[7·7대란]1,2차 모두 오후 6시…보안취약 가정 노렸다

방과·퇴근 후 겨냥…기업도 대응 제대로 못해　
디도스 진원지 파악 어려워 미궁에 빠질 수도

8일 저녁 우려했던 2차 DDoS 공격이 시작되면서 이번 해킹 사건의 배후에 관심이 집중되고 있다. 일각에서는 북한 배후설이 제기되기도 했다. 하지만 이번 DDoS 공격에 대한 수사는 난항을 겪고 있어 배후를 파악하기까지는 상당한 시간이 걸릴 것으로 보인다.

이번 해킹 사건 배후에 대한 수사는 8일 저녁 2차공격이 진행됨에 따라 촌각을 다투는 시급한 사안이 됐지만 검찰과 경찰은 해킹에 악용된 몇 대의 '좀비PC'를 확보했을 뿐 이렇다할 성과를 올리지 못하고 있다.

문제는 '좀비PC'만으로는 해킹의 근원을 찾기 힘들다는 점이다. 수사당국은 좀비PC의 감염경로를 추적해 해킹의 진원지를 찾겠다는 복안이지만 감염지 역시 좀비PC이거나 해외 서버라면 해커에 접근조차 할 수 없다.

보안업체 안철수연구소 관계자는 "이번 DDoS는 기존의 경우와 달리 중간서버의 제어를 받지 않고 악성코드 내에 공격대상이 미리 설정돼 있기 때문에 좀비PC만으로 해킹의 진원지를 찾기는 힘든 상황"이라고 말했다.

한 보안 업계 관계자도 "악성코드에 감염경로를 파악할 수 없도록 하는 기능이 내장된 경우도 있다"고 말했다. 좀비PC만으로는 해킹의 배후를 추적하기 힘들다는 설명이다. 급기야 방송통신위원회는 피해를 막기 위해 DDoS 공격에 이용되고 있는 IP를 차단하는 방안을 추진 중이다.

배후에 대한 수사가 지지부진한 가운데 국정원 등에서는 북한이나 종북세력이 이번 해킹 사건의 배후에 있다는 분석을 내놨다. 하지만 국정원 측은 북한을 배후로 지목한 근거에 대해서는 설명하지 않고 있다.

일각에서는 해킹 대상으로 배후세력을 추정할 수도 있다고 보고있다. 1차 공격과 2차공격에 모두 청와대와 국방부, 조선일보 등이 포함된 것으로 배후세력을 짐작할 수 있다는 설명이다.

한국정보보호진흥원(원장 황중연, KISA)에 따르면 지난 7일 저녁부터 국내 주요 정부기관, 언론사이트 등을 대상으로 발생한 1차 공격은 8일 저녁에 종료돼 피해사이트가 대부분 복구 됐지만 비슷한 시간 목표를 바꾼 2차 DDoS 공격이 발생했다.

이번 2차 공격 대상은 국방부, 청와대, 국정원 국가사이버안전센터, 네이버 메일, 다음 한메일넷, 파란, 옥션, 기업은행, 하나은행, 우리은행, 국민은행, 알툴즈, 안철수연구소, 주한미군, 전자민원 G4C, 조선일보 등 16개인 것으로 파악됐다.

청와대 등 1차 공격대상에도 포함된 곳이 6개, 새로 추가된 곳은 10개다. 이번 2차 공격은 1차 공격과 달리 대상이 대부분 국내 사이트라는 점이 특징이다.

보안업계 관계자들은 "2차 공격대상에 보안업체들이 포함된 것은 백신 배포 등에 대한 경고의 성격일 수 있다"면서 "1차와 2차에 모두 포함된 공격대상이 진짜 목표일 수 있다"고 말했다.

하지만 공격 대상만으로 북한이나 종북세력이 배후에 있다고 추정하는 것은 무리가 있다는 의견도 적지 않다. 특히 민주당 등 정치권에서는 명확한 근거 없이 북한 배후설을 흘리는 것은 문제가 있다고 지적하고 나섰다. 해킹 사건을 정치적으로 악용할 가능성을 경계한 것이다.

결국 이번 해킹 사건은 설만 무성한 채 미궁으로 빠질 가능성도 있다. 그만큼 DDoS 공격의 배후를 밝혀내기 쉽지 않기 때문이다. 중간서버에서 통제하는 기존의 DDoS 공격도 해외에 서버를 두고 그 위치를 계속 변경하거나 여러 단계를 거쳐 해킹 작업을 진행해 배후를 밝히기 어렵다.

더구나 이번 사건의 경우 해킹을 제어하는 중간서버 자체가 없어 진원지를 추적하기 더 힘든 상황이다.

KISA 관계자는 "2차 공격도 1차 공격과 마찬가지로 보안이 취약한 PC를 경유하고 있고 7일과 공격패턴이 동일하기 때문에 계속되는 공격을 막기위해서는 사용자들이 자신의 PC가 DDoS에 악용되지 않도록 주의하는 것이 최선이다"고 밝혔다.

특히 이번 사이버테러가 오후 6시를 시점으로 택한 데 대해서도 여러가지 분석이 제기되고 있다. 안철수 연구소 등에 따르면 사이트와 함께 공격시간도 정해져 있다는 것이다. 오후 6시부터 24시간이 공격시간이며, 3차 공격이 9일 오후 6시를 기해 다시 진행될 것이라는 분석이다.

'오후 6시' 공격설은 기업이나 학교 PC보다는 가정용 PC가 상대적으로 보안이 취약하다보니 방과후나 퇴근 후를 겨냥, 가정용PC가 움직이는 시간을 노려 공격을 시작했을 가능성이 거론되고 있다.

특히 이 시간대에는 기업들이 제대로 대응을 하지 못한다는 점도 염두에 두었을 것이라는 분석도 제기된다.

공격패턴을 살펴보면 유명하거나 이슈가 되는 사이트를 중심으로 공격이 이뤄지고 있다는 점도 눈에 띈다. 네이버나 다음 등 포털의 경우 아예 사이트 전체를 공격하기는 어려운 만큼 블로그, 한메일 등 일부 서비스를 중심으로 공격이 이뤄지고 있는 것으로 파악되고 있다.