국내 40개 웹사이트 디도스 공격..접속은 원활(종합)

[아시아경제 김철현 기자]4일 청와대를 비롯한 국내 40개 웹사이트에 대한 분산서비스거부(DDoS) 공격이 시도됐다. 하지만 DDoS 공격 후에도 대부분의 사이트에 대한 접속이 원활하게 이뤄져 피해가 크지 않은 것으로 추정된다. 보안 전문가들은 오후 6시 30분 다시 한 번 공격이 예상되는 등 DDoS 공격이 계속 진행되고 있어 전용 백신 설치 등을 통해 '좀비PC'의 수를 줄여야 한다고 당부했다.

안철수연구소(대표 김홍선)는 4일 국내 40개 웹사이트를 대상으로 DDoS 공격이 진행됐으며 오후 6시 30분부터 재차 발생할 것이라고 예측했다. 이번 DDoS 공격은 지난 3일 오전 8시 30분부터 시작됐다. 합참, 방사청, 국회 등에서 국가사이버안전센터로 신고가 들어왔으며 악성코드를 분석한 결과 40개 사이트가 대상이었다. 방송통신위원회 관계자는 "악성코드 11개를 확보하고 공격대상 40개에 메일을 발송해 사이트의 이상유무를 확인하고 있다"면서 "현재 대다수 사이트들은 정상적으로 운용되고 있는데 몇몇은 힘들게 방어 중"이라고 말했다.

이에 따라 안철수연구소는 시큐리티대응센터(ASEC)와 컴퓨터침해사고대응센터(CERT)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS 공격을 유발하는 악성코드 전용백신을 개발해 무료로 제공하고 있다.

안철수연구소에 따르면 이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 DDoS 대란 때와 유사하다. 공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.

하지만 이번 DDoS 공격은 지난 2009년보다 규모가 작은 것으로 파악됐다. 당시 악성코드에 감염된 좀비PC는 총 11만5000대에 달했지만 이번 공격에 사용된 좀비PC는 소규모로 700~800대에 불과하다는 것이 방통위의 설명이다.

이번 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드는 DDoS 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해하고 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있는 것으로 알려졌다. 안철수연구소는 이들 악성코드를 진단·치료할 수 있는 긴급 전용백신(www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 무료 제공 중이다. V3 제품군 사용자는 최신 버전으로 치료할 수 있다.

악성코드가 유포된 경로는 국내 파일공유 사이트인 '셰어박스'와 '슈퍼다운'인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 업데이트 파일과 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3일 오전으로 추정된다. 방통위는 '셰어박스'에 접속해서 파일을 받으려면 업데이트 여부를 묻는 메시지가 나타나는데 이를 클릭할 경우 악성코드에 감염된다고 설명했다. 또 하드디스크를 파괴하거나 DDoS 공격 기능이 이 악성코드에 바로 들어있는 것은 아니지만 감염되면 순차적으로 9개의 사이트에 접속해 공격기능, 파일삭제 기능 등을 순차적으로 다운로드 받아 하드디스크까지 파괴하는 악성코드로 작동하게 된다.

이에 따라 보안 전문가들은 사용자들이 자신의 PC에 대한 보안 점검을 실시해 '좀비PC'로 악용되는 것을 막아야 한다고 당부했다. 공격 대상 사이트에 대한 원활한 접속이 이뤄지는 등 피해가 크지 않지만 6시 30분 재공격이 예상되는 만큼 충분한 대비가 필요하다는 것이다.