[7·7대란]DDoS공격자 의도 '수수께끼'

지난 7일부터 시작돼 전국을 혼란에 빠뜨렸던 분산서비스거부(DDoS) 공격이 사실상 일단락 되면서 이번 사이버 테러를 시도한 공격자의 의도에 대해 다양한 분석이 제기되고 있다.

이번 공격은 치밀하게 계획된 것으로 보이지만 곳곳에서 의도를 알 수 없는 현상도 발견됐다. 보안 전문가들은 3차례에 걸쳐 공격을 시도하고 공격이 끝난 다음에는 좀비PC를 손상시켜 흔적을 지울 정도로 치밀한 공격자가 악성코드에 의도를 알 수 없는 기능을 숨겨뒀다고 입을 모았다.

특히 14일 밝혀진 악성코드의 좀비PC 정보유출 기능은 고개를 갸우뚱하게 한다. 경찰청 사이버테러대응센터는 좀비PC를 분석한 결과 악성코드가 스파이웨어 기능을 가지고 있어 좀비PC의 파일목록 일부가 59개국 416개 시스템으로 유출됐다고 밝혔다.

DDoS 공격은 기본적으로 내부를 뚫고 들어갈 수 없고 서비스 장애만 일으키는 해킹 수단이라는 점을 감안할 때, 악성코드의 정보유출 기능은 새로운 변종 DDoS 수법으로 분석될 수도 있다. 하지만 문제는 현재까지 파일 자체가 유출된 것이 아니라 파일 목록만 유출된 것으로 확인됐다는 점이다. 경찰과 한국정보보호진흥원(KISA) 측은 실제 파일 유출 여부를 파악 중이라고 밝혔지만 파일목록만 유출해서는 정보로서의 가치가 크지 않다는 점에서 공격자의 의도를 짐작할 수 없게 만들고 있다.

악성코드에 포함된 스팸메일 발송 기능에 대한 논란도 많다. 이번 공격을 유발한 악성코드에 감염된 PC는 대량의 스팸메일을 발송했지만 이 스팸메일에 첨부된 압축파일은 PC에 영향을 미치지 않는 것으로 밝혀졌다. 만약에 이 스팸메일에도 악성코드에 감염될 수 있는 파일이나 링크가 포함돼 있었다면 좀비PC의 수는 급속도로 늘었을 가능성이 있다. 결국 스팸메일 발송 현상은 단순히 메일 송수신 네트워크 부하만 일으키고 마무리됐다. 보안업체 잉카인터넷 관계자는 "메일서버에 영향을 주는 것이 목적이었는지 악성코드 파일을 첨부하려다 실수한 것인지 의도를 알 수 없다"고 밝혔다.

지난 10일 자정부터 발생한 악성코드의 '자폭' 기능에 대해서도 의견이 분분하다. 좀비PC를 손상시키는 악성코드의 기능은 데이터를 다시 복구할 수 없을 정도로 강력한 것이었지만 실제 그 피해는 1000여대에 그쳤다. 공격에 동원된 수만대의 PC가 피해를 면한 것이다. 이는 이 악성코드가 하드파괴 기능을 실행하기 위해서는 'msvcr90.dll'라는 파일이 존재해야 하는데 이 파일이 있는 PC는 많지 않기 때문이다.

안철수연구소는 이 파일은 IT관련 업무에 종사하는 엔지니어들이나 첨단 게임을 이용하는 사용자들이 주로 설치하는 파일로 일반인들의 PC에는 없는 경우가 많다고 설명했다. 공격자가 감염경로를 알 수 없게 좀비PC를 파괴할 목적이었다면 다른 방법을 사용할 수도 있었는데 이같은 방법을 이용한 것은 공격의 의도를 알 수 없게 하는 대목이다.

김홍선 안철수연구소 대표는 "이번 대란은 사실상 마무리된 것으로 보이지만 아직까지 의도를 파악하지 못했다는 것이 가장 큰 문제"라면서 "공격 패턴으로 볼 때 한국의 시스템을 잘 아는 사람의 소행으로 추정되지만 확실한 것은 알 수 없다"고 말했다. 김 대표는 이어 "DDoS 공격은 앞으로도 다양한 형태로 전개될 것이고 특히 보안에 취약한 개인PC를 계속 노릴 것"이라고 설명하며 "이 형태의 공격은 PC 뿐만 아니라 인터넷에 연결된 TV, 전화 등으로 확산될 수 있다"고 말했다.