[7·7대란]3차공격 진정국면, "미리 대비해 피해 줄여"

8일 오후 6시부터 진행된 3차 DDoS공격이 진정국면에 접어들었다. 이번 공격 대상으로 분석된 국민은행, 다음메일, 네이버 메일, 파란 메일, 옥션, 조선일보, 전자민원 G4C 등 7개 사이트는 현재 정상적으로 접속이 이뤄지고 있다.

6시부터 국민은행 사이트는 접속이 되지 않아 3차 공격이 현실로 드러났지만 현재 인터넷뱅킹에 문제가 없는 상태다. 우려했던 인터넷뱅킹 대란은 다행히 발생하지 않은 것이다. 조선일보 사이트 역시 접속이 지연되는 문제가 발생했지만 현재는 원활한 접속이 이뤄지고 있다. 전자민원 G4C 역시 한 때 접속이 느렸지만 현재는 정상 가동 중이다. 다음메일 등 나머지 사이트들도 이번 공격의 대상이 됐지만 거의 영향을 받지 않은 것으로 파악됐다.

이번 3차 공격이 1,2차 공격에 비해 빠른 시간 안에 수습된 것은 공격대상이 미리 분석됐기 때문이다. 안철수연구소(대표 김홍선)는 9일 오전 DDoS 공격을 유발하는 악성코드를 분석해 3차 공격 대상을 발표한 바 있다. 공격 대상이 된 사이트들이 미리 해킹에 대비해 피해를 줄일 수 있었던 것이다.

안철수연구소 측은 추가로 악성코드 분석작업을 계속하고 있다. 이번처럼 10일 오후 6시에 공격 목표가 될 사이트를 미리 파악할 수도 있기 때문이다.

한편 이번 3차 공격 대상이 된 사이트들은 기존의 DDoS 대응장비와 함께 URL을 우회하는 방법을 이용해 대규모 트래픽을 피해간 것으로 파악됐다. 네이버 메일, 옥션 등은 기존의 URL이 아닌 다른 URL을 이용해 DDoS 공격을 피했다.

국민은행도 DDoS 공격에 의해 접속이 지연되자 미리 마련해둔 우회 접속 경로를 통해 인터넷뱅킹 서비스를 정상 운영했다. 고객들이 웹사이트로 접속할 경우 홈페이지가 아닌 개인 인터넷뱅킹 화면으로 곧바로 연결되도록 조치한 것이다.

이 같은 대응 방법은 이미 악성코드 내에 설정된 공격 대상 URL을 해커가 변경할 수 없는 이번 공격의 특징을 역이용한 것이다. 하지만 이 방법은 미봉책에 불과하다는 지적도 있다. 2차와 3차 공격 대상이 계속 변경된 것처럼 다음 공격 대상이 변경된 URL을 노릴 수도 있기 때문이다.

안철수연구소 관계자는 "공격 대상과 시간은 변종 등에 의해 수시로 변경될 수 있다"고 설명했다.

한편 9일 3차 공격 피해를 줄인 배경에는 사용자들의 노력도 있었다. 이번 공격의 심각성을 인식한 개인 사용자들이 전용백신 프로그램을 설치해 이번 공격을 유발하는 악성코드를 치료한 것이 도움이 된 것이다. 이스트소프트에 따르면 DDoS 관련 악성코드를 치료한 PC는 지속적으로 늘고 있다. 다만 이번 3차 공격은 7개 사이트에 집중된 만큼 해당 사이트에 몰리는 트래픽은 1,2차보다 증가한 것으로 파악됐다.

행정안전부 등 공공기관에서 9일 오후 6시부터 10일 출근 전까지 모든 PC의 전원을 끌 것을 권고한 것도 이번 공격의 피해를 줄이는 데 일조한 것으로 보인다.

이번 3차 공격은 1,2차에 비해 싱겁게 끝났지만 보안업계 전문가들은 아직 안심할 수 있는 상황은 아니라고 입을 모았다. 변종을 통한 다른 형태의 공격이 발생할 수 있기 때문이다. 통신, 에너지 등 국가기간 산업 사이트를 공격 대상으로 하거나 증권거래소 등을 목표로 삼으면 더 큰 혼란이 초래될 수도 있다.