닫기

DDoS 테러, 사건 배후와 의도는

기사듣기 기사듣기중지

공유하기

닫기

  • 카카오톡

  • 페이스북

  • 트위터 엑스

URL 복사

https://www.asiatoday.co.kr/kn/view.php?key=265768

글자크기

닫기

인터넷 뉴스팀 기자

승인 : 2009. 07. 10. 10:34

구글 검색 선호 출처 추가 Google 검색에서 아시아투데이 기사를 더 자주 볼 수 있습니다.

Advertisements

Advertisements

해커의 공격이 분산서비스(DDoS) 공격을 넘어 개인 PC 데이터 파괴까지 이어짐에 따라 이번 사태의 배후와 범행 목적, 의미 등에 대한 궁금증이 커지고 있다.

수사기관과 업계는 최근의 추세와 확연히 다른 사태 전개에 주목, 사건의 배후와 의도를 추적하고 있다.

◇공격 목적, 돈이 아니다 = 무엇보다 이번 사건에서 두드러지는 점은 해커의 공격 목적이 금전적 의도가 아니라는 점이다.

일반적으로 최근 해커들의 공격이 개인정보 유출이나 협박을 통한 금전 요구 등을 노린 것을 감안하면 이번처럼 아무런 목적을 드러내지 않은 것은 이례적이다.

해커는 국내외 여러 중요 국가기관과 기업체의 사이트를 마비시키고도 아무런 의도를 노출하지 않았다.

특정 사이트 한 두 곳을 대상으로 한 공격이 아니라 동시다발적으로 여러 사이트를 공격한 것 역시 금전적 목적과는 거리가 먼 부분이다.

또 네트워크 침입 시도나 정보 유출 등 사례가 파악되지 않은 것 역시 이번 공격의 의도 파악을 어렵게 하고 있다.

여기에 해커는 공격에 사용된 좀비 PC가 자동으로 스스로를 파괴하도록 하는 등 통상적인 사례에 비춰 이해할 수 없는 행보를 보이고 있다.

이에 따라 업계에서는 해커가 애초에 테러를 목표로 했다는 주장이 설득력을 얻고 있다.

일각에서는 공격 목표가 된 사이트들이 청와대와 국회, 주요 정당과 언론사 등이었던 것을 고려할 때 정치적 목적이 있는 것 아니냐는 주장도 제기됐다. 국가정보원 등에서는 최근 북한이 사이버 테러를 의도한 듯한 발언을 한 것을 근거로 북한 및 추종 세력의 범행이라는 추측도 내놓고 있다.

◇오후 6시 시작 이유는 = 3차의 공격이 매일 오후 6시에 시작된 것이 어떤 의도를 가졌는지에 대해서도 의문이 커지고 있다.

업계는 오후 6시면 국내 주요 기관과 업체의 업무 시간이 끝나는 때로, 이 경우 위협이 상대적으로 작게 느껴질 수 있기 때문이다.

그러나 한편에선 오후 6시 이후 가정과 PC방의 PC 사용이 늘어나는 것을 근거로 이 시간대가 공격의 강도를 키우기엔 더욱 좋다.

좀비 PC가 기업용이 아니라 보안이 허술한 개인 PC와 PC방 용인 경우가 많다는 것을 감안하면 오전이나 낮 시간에는 이들이 꺼져있어 강도높은 공격이 힘들다는 것이다.

공격을 방어하는 보안팀 등의 대응도 오후 6시 이후에는 아무래도 약해질 수밖에 없는 점 역시 해커의 계산에 포함됐을 것으로 업계는 분석했다.

한편으로는 악성코드 유포 지역이 미국이라는 주장과 함께 공격 시작 시간대인 오후 6시가 미국 시각으로 하루 전날 오전 8시로서 업무 시간일 수 있다는 주장도 제기됐다.

어찌됐든 업계는 근무시간을 주기로 연 사흘 같은 시각에 공격을 시도한 것은 이번 범행이 단순한 우발성이 아니라 치밀하게 계획된 것이라는 방증으로 보고 있다.

◇추가 범행 있을까 = 3차 공격이 큰 피해없이 끝났지만 좀비 PC가 파괴되기 시작하는 등 피해가 개인 사용자에게 번지면서 이후 사태의 추이에 관심이 집중되고 있다.

업계는 일단 사용된 좀비 PC가 파괴됨으로써 당장 추가 공격이 시도되긴 어려울 것으로 조심스럽게 예상했다.

여기에 악성코드 숙주 사이트 5곳을 차단함으로써 새로운 악성코드 유포까지 시간이 걸릴 수밖에 없는 상황 역시 사태가 당장은 진정될 수 있는 호재라고 분석했다.

그러나 업계는 치밀한 계획에 따른 공격 양상으로 볼 때 이번 3차까지의 공격이 끝이 아닐 수 있으며 또 다른 유형의 사이버 테러가 있을 수 있다고 우려했다.

이번에 사용된 좀비 PC 이외에 다른 악성코드에 감염된 잠재적 좀비 PC가 존재할 수 있다는 점을 고려하면 위협을 간과해서는 안된다는 경고의 목소리도 적지 않다.

해커가 정부 및 업계의 대응을 비웃듯 3차까지 대상을 바꿔가며 공격을 시도한 것을 볼 때 이미 다른 좀비 PC들을 준비해뒀을 가능성은 충분하다는 것이다.

여기에 지금도 좀비 PC들이 다운되고 자료가 유실되는 사례가 속출하는 만큼 이들의 피해가 어디까지 미칠지도 걱정이다.

최대 8만대까지로 파악되고 있는 좀비 PC 중 상당수가 파괴될 경우 그로 인한 경제적 손실이 막대해질 수 있는 것이 사실이다.

◇범인은 누구, 추적 가능한지 = 업계 전문가들은 정교하게 설계된 악성코드로 국내외 사이트에 동시다발적으로 공격을 가한 것을 볼 때 조직적 범행인 것으로 추측하고 있지만, 구체적인 단서는 발견하지 못하고 있다.

국정원이 16개국에서 80여개의 IP가 동원됐다는 사실을 밝혀내고, 한국정보보호진흥원 등이 악성코드 숙주 사이트 5곳을 차단했지만, 이는 더 이상의 악성코드 확산을 차단하는 데 제한적인 도움이 될 뿐 실제 범인 추적에는 별다른 의미가 없는 것이 사실이다.

그나마 일반적인 DDoS의 경우 중간제어서버가 있어 이를 파악함으로써 범행의 배후를 간접적으로나마 캘 수 있으나, 이번에는 그마저 없어 수사 의지를 무력화하고 있다.

좀비 PC가 파괴되기 시작하면서 악성코드 샘플 수집과 이를 통한 사건 경위 파악도 더욱 힘들어졌다.

애초에 범인들이 조직적으로 범행을 설계하고 수사망을 회피하기 위한 대책까지 치밀하게 세워놨음을 알게 하는 대목이다.

업계 관계자들은 "이번 사건은 기술적으로 범인을 잡는 것이 거의 불가능해보인다"고 입을 모았다.

이에 따라 업계에서는 당장 피해를 수습하고 추가 범행을 막기 위한 경계 태세를 유지하는 등 피해 예방에 주력해야 한다고 강조했다.
인터넷 뉴스팀 기자

ⓒ 아시아투데이, 무단전재 및 재배포 금지

기사제보 후원하기