‘디도스’ 비상…악성코드에 떨고있는 PC

디도스 증가추이 및 최근 공격사례

데이터 폭주시켜 웹사이트 마비 수법
공격대상 전방위적…금품요구도 증가세
“보안 솔류션 갖추고 트래픽 모니터링을”

악성코드에 감염된 피시(PC)들이 동시에 누군가의 명령을 받아 일제히 특정 웹사이트에 달려든다. 한꺼번에 너무 많은 접속자가 몰리면 웹사이트의 정상적인 서비스 제공이 어려워지는 것은 당연한 일이다. 지난해 4월 에스토니아에서는 이런 방식의 ‘분산 서비스 거부’(DDoS·디도스) 공격이 일어나 3주 동안 정부, 은행, 언론사 등 홈페이지의 사용이 불가능해졌다. 당시 공격에 가담한 피시 수는 100만대 이상이었으며, 에스토니아는 이 공격의 배후가 러시아라고 주장하기도 했다. 당시 영국의 경제주간지 <이코노미스트>는 도박이나 성인용 사이트들이 동유럽발 디도스 공격으로 금품 요구를 당하고 있으며, 핀란드 공영방송사도 공격을 받은 바 있다고 전했다.

국내에서도 디도스 공격이 빈번해지고 있다. 현재까지는 공격을 빌미로 금품을 요구하는 경우가 많다. 최근 미래에셋그룹의 홈페이지가 디도스 공격을 받아 접속 장애가 발생한 사건이 대표적이다. 미래에셋 관계자는 “당시 회사 아이티(IT) 담당 부서 쪽으로 누군가가 전화를 걸어와 공격 중단 대가로 5천만원을 요구했다”며 “돈을 주지 않으면 증권 홈페이지도 공격하겠다고 위협했다”고 말했다. 심상현 한국침해사고대응팀혐의회 사무국장은 “미래에셋 사건의 경우 업계 내부에서 디도스 공격에 대해 불안하게 예측하던 것이 현실화된 것”이라고 말했다.

보안업계의 말을 들어보면, 국내의 경우 2006년부터 성인 화상채팅이나 도박 등 위법 소지가 있는 웹사이트를 대상으로 디도스 공격을 통한 금품 요구가 있어왔다. 주로 중국발 공격이다. 지난해에는 아이템베이를 비롯한 국내 주요 게임 아이템 거래사이트들이 디도스 공격을 받아 접속 중단 사태가 빈번하게 일어났으며, 웹하드나 쇼핑몰, 일반 기업 등으로 공격 대상이 다양해지는 추세다.

사이트에 많은 이용자들이 한꺼번에 접속해 서비스를 중단시키거나 느리게 만드는 ‘서비스 거부’(DoS·도스) 공격은 온라인에서의 정치적 의사표시 방식의 하나로 오래 전부터 사용돼 왔다. 디도스 공격은 다수의 시스템이 협력해 도스 공격이 일어나는 것을 의미하며, 누군가의 명령을 수행하는 악성코드에 감염된 국내·외 좀비 피시들이 등장하면서 이런 공격이 수월해졌다. 이 가운데 대표적인 것이 악성 ‘봇’에 감염된 피시들의 연결망인 ‘봇넷’이다. 국제적인 범죄 집단이 봇넷을 운용하고 있다는 분석도 나온다.

안철수연구소 컨설팅팀의 여성구 대리는 “과거에는 웹사이트가 상업적으로 활용되지 않았기 때문에 접속이 되지 않는다고 해서 특별히 심각성을 못 느꼈다”며 “그러나 웹을 통한 금전적 서비스가 많이 늘고 서비스 시간이 이익과 직결되는 경우가 많아지면서 디도스를 통한 금품 요구가 늘고 있다”고 말했다. 한 인터넷 업체 보안팀장은 “지난해 하반기에 우리 서비스에도 4~5차례의 공격 시도가 있었다”며 “유명 포털의 일부 서비스 등도 디도스 공격을 당한 것으로 안다”고 말했다. 전문가들은 최근 관심사로 떠오르고 있는 인터넷 티브이나 인터넷 전화 서비스를 타깃으로 한 공격도 나타날 수 있을 것으로 보고 있다.

문제는 아직 국내 대다수의 홈페이지가 이런 공격에 대한 대비책을 마련하지 못하고 있다는 점이다. 보안 전문가들은 악성코드가 다양화되고 있고, 접속을 요청하는 데이터가 정상적인 것인지 판단하기 어려워 디도스 공격을 막는 일이 생각보다 쉽지 않다고 호소한다. 우선 업체나 공공기관 스스로 디도스 공격을 막아낼 수 있는 보안 솔루션을 갖추거나 시스템 처리 용량을 늘리고, 인터넷데이터센터(IDC)나 인터넷서비스공급업체(ISP) 차원에서 이상 트래픽 모니터링이 필요하다.

전문가들은 디도스 공격에 활용되는 피시 수를 줄여야 대규모 공격을 예방할 수 있다고 충고한다. 업체나 공공기관들은 자신의 게시판에 콘텐츠를 가장하고 올라오는 악성코드를 감시할 의무가 있으며, 개인 사용자들은 운영체제(OS) 패치를 업데이트하는 습관이 필요하다는 것이다.

박현정 기자 saram@hani.co.kr