‘7·7 디도스 대란’의 진원지가 영국이라는 주장이 나왔다. 방송통신위원회와 한국정보보호진흥원(KISA)은 14일 아시아태평양침해사고대응팀협의체(APCERT)에 소속된 베트남 컴퓨터 보안업체 브키스(Bkis)로부터 이번 디도스 공격을 일으키는 ‘마스터 서버’가 영국에 위치해 있다는 분석결과를 전달받았다고 밝혔다. 방통위는 이 같은 사실을 국가정보원과 경찰청에 통보했다. 브키스는 좀비PC에 설치된 악성코드와 교신하는 경유지 서버 8곳을 확보해 2곳의 서버 로그인 정보를 분석한 결과 윈도2003서버의 운영체제(OS)를 가진 영국 소재의 마스터 서버와 연결돼 있었다고 밝혔다. 앞서 국정원은 19개국 92개 인터넷주소(IP)를 통해 디도스 공격이 진행됐다고 밝혔다. 하지만 방통위는 영국이 이번 공격의 진원지라고 단정할 수는 없다는 입장이다. 황철증 방통위 네트워크정책국장은 “디도스 공격 명령을 내리는 마스터가 추가로 나올 수 있다.”면서 “영국 서버가 해킹당했을 가능성도 배제하기 어렵다.”고 말했다. 김효섭기자 newworld@seoul.co.kr

“백신프로그램이 깔려 있지 않은 PC가 많았습니다. 가짜 백신만 설치된 제품도 있었고, 업데이트를 하지 않아 있으나 마나 한 경우도 있었습니다.” 김홍선 안철수연구소 사장은 이번 디도스(DDoS·분산서비스거부) 공격으로 인해 하드디스크가 손상된 PC의 상태를 이렇게 설명했다. 보안전문가들은 사이버 테러를 근본적으로 막기 위해서는 컴퓨터 이용자들의 보안의식이 높아져야 한다고 입을 모은다. 예전 사이버 공격은 서버 등 기업의 인터넷 설비를 제공하는 인터넷데이터센터(IDC)를 목표로 삼았다. 하지만 IDC의 보안수준이 올라가자 이번 공격처럼 상대적으로 취약한 개인 PC를 악성코드에 감염시켜 ‘좀비 PC’로 만든 뒤 이를 통해 테러를 자행한다. 김 사장은 “웜으로 인터넷이 모두 마비됐던 2003년 ‘1·25 인터넷 대란’ 이후 네트워크는 확실히 강화됐지만 사용자 PC를 거치는 공격은 더 심각해졌다.”면서 “보안의 사각지대에 있는 PC가 엄청나게 많다는 사실을 빨리 깨닫고 대책을 세워야 한다.”고 강조했다. 한 조사결과에 따르면 전국에 보급된 3000만여대의 PC 중 200만대 이상은 백신 프로그램을 설치하지 않은 것으로 드러났다. 200만대가 언제든지 좀비PC로 전락할 수 있다는 얘기다. 이번 사태 기간 중 한국정보보호진흥원의 ‘보호나라’ 사이트에 방문한 건수를 보면 디도스 공격이 시작된 뒤 8일에는 8만 7000여건을 기록했다. 하지만 감염 PC의 하드디스크 손상 경보가 나간 9일에는 24만 5000여건, 10일에는 오전에만 29만여건으로 급증했다. 한 보안전문가는 “개인이 피해를 입지 않을 경우와 입을 경우에 따라 보안 의식의 차이가 크게 나타난 셈”이라며 “악성코드가 다른 사이버 테러에 이용되는 것은 물론 이번 공격처럼 본인의 PC를 손상시킬 수 있으므로 이용자들이 경각심을 가져야 한다.”고 말했다. 보안 사각지대를 없애는 가장 쉬운 방법은 PC에 백신프로그램을 설치하는 것이다. 정기적인 업데이트도 필요하다. 아울러 백신프로그램이나 소프트웨어는 공짜라는 생각도 고쳐야 한다. 김 사장은 “3만~4만원하는 백신프로그램 하나만 사면 실시간 모니터링까지 해주는데 결코 비싼 가격이 아니다.”고 설명했다. 하지만 너도 나도 공짜 소프트웨어만 찾는 바람에 국내 개인용 보안시장은 붕괴됐다. 7000억원인 국내 보안 시장 규모는 백신에만 1조원을 투자하는 일본의 5%에도 미치지 못한다. 시장의 붕괴는 보안인력의 감소로 이어지고 이는 또다시 시장축소로 이어지는 악순환에 빠진다. 한 보안업체 관계자는 “보안인력 양성은 시장이 커지면 자연스럽게 이뤄진다.”면서 “나한테 필요한 좋은 소프트웨어는 돈 내고 사야 한다는 생각을 가져야 한다.”고 지적했다. 김효섭기자 newworld@seoul.co.kr [다른기사 보러가기] ☞종로 한복판서 현금수송차량 털릴 뻔 ☞‘고양이가 머리 꼭대기에’ 과학적으로 입증 ☞허정무 “엔트리 15~16명 이미 정했다” ☞李대통령 천성관 사의 즉각 수용 왜 ☞김치달인들 광주서 천년의 맛 담근다

지난 7일부터 사흘간 온 나라를 사이버 공황에 빠뜨린 분산서비스거부(디도스·DDos) 공격이 잦아드는 양상을 보이고 있다. 비록 무방비 상태로 허를 찔리다시피 했지만 사태 발생 후 정부와 민간보안업체들의 적극적인 대응으로 피해를 최소화한 것은 그나마 다행이다. 사이버 공격이 종결 국면에 들어갔다고 하지만 변종 악성코드가 도사리고 있는 한 경계를 소홀히 할 수 없음은 물론이다. 이번 사태는 우리가 사이버 테러에 대한 철저한 보안의식과 대응체제를 갖추지 않으면 IT강국의 명성이 한순간에 물거품이 될 수 있음을 여실히 보여줬다. 이제 차분히 ‘7·7 사이버 테러’ 이후를 생각할 때다. 이번 사이버 대란을 통해 우리는 보안 인력과 예산 부족, 유기적인 지휘체계 부재, 관련법 미비 등 해결해야 할 과제가 한두 가지가 아님을 몸소 확인했다. 무엇보다 절실한 문제는 국가의 보안 전문인력이 너무 부족하다는 점이다. 정부와 민간의 가교역할을 하는 한국정보보호진흥원(KISA)의 경우 사이버 보안 업무 담당자는 40여명에 불과하다. 전문 기술과 경험을 갖춘 ‘특급’ 인력의 이직률이 최근 크게 늘고 있어 더욱 우려를 낳고 있다. KISA측은 해킹을 막을 국가 사이버 전사(戰士)가 적어도 100명은 되어야 통상적인 사고처리와 감시활동 외에 보안기술 연구 개발이 가능하다고 주장한다. 정부는 최근 국가 경제기밀을 노린 해커들의 침입이 증가함에 따라 내년 초 설립하려던 ‘재정경제 사이버 보안센터’를 연내로 앞당겨 세우도록 했다. 아울러 보안 전문가가 관장하는 통합 컨트롤타워를 마련해 일관된 대응체제를 갖춰나가야 할 것이다. 다시금 강조하건대 무엇보다 중요한 것은 ‘사람’이다. 국가안보 차원에서 사이버 전사를 양성해야 한다는 게 우리의 생각이다. 일찍이 IT산업 초기에 제기된 ‘해커10만 양병설’이 새삼 주목받고 있는 것도 같은 맥락이다.

　지난 7일 시작된 ‘디도스(DDoS) 공습’이 1주일간의 혼란 끝에 마무리 단계에 접어들었다.정부는 14일 이번 인터넷 침해사고의 ‘주의’ 경보를 ‘관심’ 등급으로 한단계 낮췄다.이번 DDoS 사태는 ‘대란’이란 단어를 사용하기 부끄러울 정도로 이미 알려진 고전적인 인터넷 공격 수법이었다.1차 피해는 어쩔 수 없다하더라도 PC 사용자들이 백신을 패치해 두고 곧바로 치료했더라면 피해를 많이 줄였을 것이란 지적이다. 　누가 잘하고 잘못한 것일까.언론은 연일 국가기관이 허둥댔다고 하지만 이곳을 탓할 일이 아니다.공격시기와 대상을 정확하게 예측했다는 민간 보안업체들만의 공치사도 아니다.보안업체들은 언제나 치료약인 백신을 연구·개발하고 파는 기업이다.정부와 기업은 대처하는 방식이 엄연히 다르다.이번 사태의 중심에 섰던 한국정보보호진흥원(KISA) 직원들을 통해 ‘디도스 공격 3일의 순간’을 점검해 본다. 　 ●발생 첫날 　DDoS 공습이 처음 시작된 시간은 지난 7일 오후 6시44분. 　KISA의 인터넷침해사고 대응지원센터 상황실에 유해 트래픽을 수반하는 ‘분산서비스 거부공격(DDoS)’이 시작된 정황이 포착됐다.곧바로 청와대 등 국내 주요 사이트에는 인터넷 접속이 지연되거나 접속이 되지 않았다. 　KISA가 지난 해 20억원을 들여 시범적으로 구축한 DDoS 대응체계 시스템이 이를 먼저 탐지했다.불행 중 다행이었다.KISA내의 다른 시스템은 ‘1·25 대란’ 직후인 2003년 구축돼 다소 낙후됐지만 이 시스템 덕분에 보다 일찍 DDoS 공격의 감지가 가능했다. 　보안요원들은 곧바로 악성코드에 감염된 중간PC인 ‘좀비 PC’를 확보하기 위해 KT 등 인터넷서비스사업자(ISP)들과의 교신을 시작했다.DDoS 공격은 특정 웹 사이트의 접속만을 어렵게 한다는 점에서 인터넷 접속 자체를 불가능하게 했던 ‘1·25 대란’과는 확연히 다른 것이다.그렇지만 보안요원들이 직감한 전개 상황은 심상치 않았다. 그동안 이와 비슷한 DDoS 공격이 수십차례 있었지만 이번만은 그 강도가 예사롭지 않았기 때문이다. 　KISA는 곧바로 인터넷 침해사고 대응인력 40여명 전원을 긴급 소집했다. “오랜만에 일찍 퇴근해 9시쯤 집에 도착할 즈음이었습니다.상황실로 나오라는 전화를 받은 뒤 지금까지 집에 못들어 갔어요.” 박성우 연구원의 말이다.그는 1주일간 사무실에서 쪽잠을 자며 해킹과 싸워왔다. 　이어 2시간여가 지난 오후 9시쯤,보안요원들은 ‘좀비PC’를 통해 원격으로 악성 행위와 연관된 파일을 확보, 백신업체에 전달하고 또다른 분석에 들어갔다.DDoS 공격의 추이와 변화를 살폈고, 악성코드를 분석해 이후 움직임을 주시하고 백신업체들과 공조 체제를 유지해 나갔다.하지만 시간이 흐를수록 피해가 커져 긴장감은 더했다. 수년전 ‘1·25 대란’을 겪은 베테랑들도 대책 마련에 고심을 거듭했다.인터넷 홈페이지를 기반으로 하는 기업들이 이로 인해 매출에 직격탄을 받게 되면 비난의 화살은 정부 기관으로 올 게 뻔하기 때문이다. 　 ●발생 이틀째 　8일 오전 2시40분,상황은 더 나빠지고 있었다. 공격을 받은 국내 12개 사이트 중 일부 민간 사이트는 트래픽 분산에 성공해 홈페이지 접속이 가능했지만, 공공기관 사이트는 트래픽이 점차 증가해 홈페이지 접속이 어려웠다.DDoS에 대한 모니터링은 물론 대응을 해오던 KISA는 방송통신위원회와 협의 후 ‘주의’ 경보를 발령했다. 정보보호 알림이서비스 문자와 ‘네이트온’ 팝업 창에 주의 사항을 공지했다. 　하지만 하루종일 주요 인터넷의 마비사태는 지속됐다.청와대·국가정보원 사이트,언론사 홈페이지에서도 상황은 호전되지 않았다.이날은 피말리는 사투를 치렀다. 　저녁 무렵.전날 저녁에 시작된 주요 정부기관, 언론사 등에서 발생한 1차 DDoS 공격은 하루를 넘기면서 끝나는 듯했다. 해당 사이트의 트래픽이 현저히 감소된 것도 확인됐다. 피해 사이트도 대부분 복구됐다. 　그러나 안심하는 순간,또다른 ‘변종 악성코드’를 통한 움직임이 포착됐다.모니터를 바라보던 보안요원들의 얼굴엔 또다시 긴장감이 엄습했다.DDoS 공격 형태가 계속 바뀌고 악성코드는 새로 생겨나고···. 막는 것보단 상황에 따라 조치를 취하는 수밖에 없었다. 　저녁 6시쯤 드디어 알려진대로 16개 사이트를 대상으로 한 2차 공격이 감행됐다. KISA는 곧바로 이 사실을 고지했다.도시락을 먹으며 이어진 밤샘 작업 이틀째. 9일 새벽을 지나 아침까지 눈코 뜰새 없는 숨막힌 대응 체계의 가동은 계속됐다. 　 ●발생 3일째 　9일 오전 10시쯤. 방통위와 KISA는 KT 등 ISP들의 대응조치 강화를 추진한다고 발표했다. ISP 등에서 파악하고 있는 DDoS 공격 유발 PC가 인터넷에 접속하려는 경우 먼저 DDoS 백신을 실행한 이후에 인터넷 접속이 가능하도록 ISP가 제공토록 요청했다. 오후 2시 30분에는 ‘주요 ISP 임원급 회의’도 가졌다. 　이날 저녁, 3차 공격에 대한 예상이 있었지만 트래픽의 큰 이상 징후는 없이 지나갔다. 　이 분위기도 잠시. 밤 11시40분쯤 KISA는 ‘좀비 PC’가 스스로 하드디스크를 삭제할 가능성이 있다며 PC사용자들이 주의해야 한다는 내용을 긴급 발표했다. 상황은 더 긴박해졌다. 대응센터의 상황실내 TV 화면에 ‘좀비 PC속 시한폭탄’ 속보가 계속 뜨는 가운데, 이 날 자정을 지나 0시 20분 첫 신고가 들어왔다. “PC 작업하다가 먹통, 마우스 및 키보드 작동 불능=>재부팅 하였으나 부팅 안됨”. 　이같은 내용은 10일 새벽 1시까지 3건 접수됐다. 다행히 아침 9시까지 시간대별 접수 건수는 낮았다. PC이용자가 사무실에 출근해 PC를 켜는 오전 9시부터 신고는 증가했지만 우려할 만한 상황은 피해갔다. 　 ●‘공습’은 끝났건만···. 　1주일간의 대응 기간에 KISA로선 아쉬운 대목이 많다.지난 5일 미국 사이트에 대한 한국 인터넷주소(IP)의 DDoS 공격을 차단한 미국의 웹 호스팅 업체에 국내 공격자 PC의 접속 기록을 요청했으나 해당 업체가 협조를 안하는 바람에 초기 대응시기를 놓쳤다. 　KISA는 DDoS 공격이 시작된 7일 오후 9시쯤에야 ‘좀비 PC’로부터 샘플을 채취해 보안업체들에 전달했다.미국측의 협조가 있었다면 1∼2일 빨리 대응해 이번 사태를 막을 수 있었을 것이란 짐작이다. 6개 백신업체는 8일 낮 12시쯤 백신 업데이트를 끝냈지만 사태는 커진 뒤였다. 　이번 사태를 직접 겪은 KISA의 보안요원들은 “DDoS 공습처럼 전문 기관만으로는 인터넷 공격 피해를 줄이기 힘든 만큼 이 기회에 예산이 듬뿍 확보되고,개인이든 중소기업이든 보안의식이 높았으면 한다.”고 이구동성으로 주문했다.보안 선진국의 경우 정부 IT 예산의 5∼12%를 보안분야에 쓰지만 우리는 1%도 안되는 것이 현실이다. 　보안직원들은 민간의 대응이 빨랐다는 지적에는 서운한 감을 가졌다.정부기관과 업체는 기본적으로 대응 전략이 많이 다르다고 했다. 또한 KISA나 국가정보원, 검·경찰은 큰 그림을 컨트롤 하고,이 단계에서 관련 업체도 참여해 의견을 나누면서 대응 방안을 내놓았다. 안철수연구소측도 13일 “악성코드 분석때 키워드를 찾기 어려웠는데, KISA·국정원의 도움으로 몇 가지 키워드를 잡았고, 샘플도 몇 개 받았다.”면서 “하드 손상파일 분석도 시간적인 분석에 대한 검증이 어려웠는데, 국정원에서 0시에 작동하는 것 같다고 해 확신을 가졌다.”고 밝혔다. 인터넷서울신문 최영훈기자 taiji@seoul.co.kr

“지금까지 늘 그랬듯이 ‘보안 투자’를 강조하다가 조금 뒤에는 언제 그랬냐는 듯이 슬그머니 넘어갈까봐 걱정입니다.” 김홍선 안철수연구소 사장은 13일 기자간담회에서 이번 분산서비스거부(DDoS)공격에 대한 느낌을 이렇게 밝혔다. 그는 “이번 DDoS 공격을 벌인 사람은 우리 네트워크 상황을 잘 파악하고 매우 정교한 수법을 사용했다.”면서 “일정 수준 이상이면 탐지되는 파일 임계치를 넘지 않은 수준의 트래픽으로 공격했다.”고 밝혔다. ●한국 네트워크 잘 아는 사람 소행 하지만 김 사장은 “국내 장비를 잘 안다고 해서 우리나라 사람이라는 보장은 없다.”면서 “외국 해커도 국내 장비·인프라·개인정보 등에 대한 지식이 많을 수 있기 때문에 국적에 구애받지 않는다.”고 덧붙였다. 또 DDoS공격을 유발하는 악성코드 파일도 PC안에서 각각의 파일만으로는 기능을 알기 힘든 점조직 형태의 구조로 유포 경로를 알기 힘들다고 밝혔다. 모체가 된 악성코드의 유포경로도 아직 알 수 없다고 강조했다. 김 사장은 “이번 공격이 두려운 것은 아직 의도를 모르기 때문에 다음 공격이 있지 않을까 하는 불안감”이라며 “특히 다음 공격은 정부대응기관과 안철수연구소 등 보안업체들을 노릴 것 같다는 점도 걱정”이라고 말했다. 이어 “이번이 보안의식을 높이기 위한 마지막 기회”라며 “앞으로는 TV 등 가전제품도 네트워크에 연결되기 때문에 악성코드가 들어갈 수 있는 재앙이 올 수 있다.”고 경고했다. ●새 DDoS 보안 신기술 개발 아울러 “2003년 1·25 인터넷 대란 이후 네트워크 보안은 많이 향상됐지만, 실제 PC이용자들의 보안의식은 제자리에 머물러 있다.”고 지적했다. 정부에 대해서는 보안인력 양성에 힘쓸 것을 주문했다. 이날 안철수연구소는 클라우드 컴퓨팅 개념이 도입된 새로운 DDoS 보안 신기술을 발표했다. 김효섭기자 newworld@seoul.co.kr

사이버 세상을 발칵 뒤집어놓았던 분산서비스거부(DDoS) 테러가 잦아들면서 13일은 별다른 혼란 없이 인터넷 접속과 PC 사용이 가능해질 전망이다. 하지만 언제 공격할지 모르는 변종 악성코드가 도사리고 있어 긴장을 늦출 수 없는 상황이다. 전문가들은 이 기회에 보안 관련 사람·제도·환경을 확 바꿔야 한다고 지적한다. 사이버 보안체계 확립 방향을 3회에 걸쳐 싣는다. “블랙 해커와 화이트 해커는 종이 한 장 차이입니다. 컴퓨팅 기술을 어디에 쓰느냐에 따라 범죄자가 될 수도 있고, 보안 전문가가 될 수도 있습니다.” 안철수연구소에서 주임연구원으로 활동하며 이번 사태 해결에 큰 역할을 한 조주봉(30)씨는 국내 최고 화이트 해커(보안 전문가) 중 한 명이다. 지난 4월 지식경제부가 후원한 국제 해커대회 ‘코드게이트2009’ 결선에서 우승했다. 결승전에서 맞붙은 팀은 세계 최대 해커대회 ‘데프콘’에서 2년 연속 우승했던 미국 해커팀 ‘I@stplace’였다. 조씨는 “해킹은 선과 악으로 명백히 구분된다.”면서 “선의의 목적으로 자신의 기술을 이용할 기회가 없으면 자연스럽게 악의 구렁텅이로 빠지는 게 바로 해킹의 세계”라고 말했다. ‘7·7 디도스(DDoS·서비스분산거부) 대란’은 한국의 허약한 인터넷보안 체계를 여실히 보여줬다. 컨트롤타워 없는 정부의 대응은 우왕좌왕했고, 국민의 의식도 빈약했다. 무엇보다 위기를 해결할 수 있는 전문가가 부족했다. 정부는 마냥 민간 보안업체만 바라봤다. 방송통신위원회 황철증 네트워크국장은 “결국 사람의 문제”라고 했다. 제 아무리 복잡한 해킹도 사람이 하는 것이고, 그걸 막는 것 또한 사람이라는 뜻이다. 이번 사태에서 가장 바빴던 이들은 한국정보보호진흥원(KISA) 소속 보안 전문가들이다. 공격의 방법을 규명하는 것도, 악성코드에 감염된 ‘좀비 PC’를 찾아내 분석하는 것도 이들의 몫이었다. 하지만 KISA에는 칭찬보다 비난이 쏟아졌다. 대응이 늦었고, 해결책 제시도 민간업체에 매달렸다는 것이다. KISA 관계자는 “보안 업무 담당자 40명에게 모든 것을 요구하는 게 오히려 비정상적”이라고 한탄했다. 한국 젊은이들의 해킹 실력은 세계 최고 수준이다. 이달 말 미국에서 열리는 ‘데프콘’ 결선 진출 10개팀 중 3개가 한국팀이다. 대학의 보안동아리 활동도 꽤 활발하다. 하지만 이들을 보안 전문가로 양성하는 정부 기관은 없다. 매년 해킹대회 1~2개를 주최하는 게 고작이다. 행정안전부가 올 초 중앙행정기관과 공공기관 695곳을 조사한 결과를 보면, 이들 기관에서 정보보호 업무를 전담하는 직원은 기관당 평균 0.7명이었다. 전문인력이 한 명도 없는 기관은 67.5%였다. 정부가 보안에 신경을 안 쓰니 전문가들은 기업에 눈을 돌리고, 이마저 여의치 않자 블랙해커의 길을 가는 것이다. 한국정보보호학회 김광조(KAIST 교수) 회장은 “정부, 기업, 대학 모두 보안전문가에 대한 투자를 확대해야만 사이버 전쟁에서 승리할 길이 보일 것”이라고 강조했다. [용어 클릭] ●화이트 해커 악의로 인터넷 시스템을 파괴하는 해커(블랙 해커·크래커)에 대비되는 개념으로 선의의 해커다. 네트워크에 침입하지만 취약한 보안 시스템을 발견해 관리자에게 제보함으로써 블랙해커의 공격을 예방하거나 퇴치한다. 요즘은 민·관에서 활동하는 보안 전문가들을 통칭한다. 이창구기자 window2@seoul.co.kr

“깔고 업데이트하고 검사하자.” 내 PC를 분산서비스거부(DDoS) 공격으로부터 막을 수 있는 방법이다. 방법은 어렵지 않다. 백신프로그램을 깔고 최신버전으로 업데이트를 하고 실시간 검사와 주기적으로 바이러스 검사 등을 해주면 된다. 안철수연구소의 V3라이트, 이스트소프트의 알약, 네이버의 PC그린 등 공짜백신을 이용할 수도 있다. 초고속인터넷 업체들도 가입자들에게 홈페이지에서 공짜백신을 나눠 주고 있다. ●모르는 사이트 안가는게 상책 일단 백신프로그램을 내려받았다면 업데이트가 중요하다. 1주일 정도 업데이트를 하지 않으면 없는 것과 마찬가지다. 가장 최신 버전을 사용해야 매일 새로운 종류가 나오는 악성코드를 잡아낼 수 있기 때문이다. 업데이트 설정을 자동으로 해놓으면 보다 편리하다. 또 정기적인 검사도 필수다. 바이러스 검사 등으로 인해 컴퓨터가 느려지는 것이 싫다면 점심 시간 등 잠시 자리를 비우기 전에 검사를 시작해 놓으면 편리하다. 아울러 백신프로그램마다 있는 실시간 감시 기능은 항상 켜놓는 것이 좋다. ●예·아니오 누르지 말고 창닫아야 백신프로그램을 이용한 방법이 악성 코드 등의 감염을 막는 직접적인 방법이라면, 감염의 위험을 줄이는 간접적인 방법도 있다. 우선 잘 모르는 웹사이트나 위험한 사이트는 가지 않는 것이 좋다. 최근에는 유명 웹사이트에도 악성코드를 숨겨놓고 이를 방문한 PC를 감염시키는 경우도 있다. 하물며 잘 알지 못하는 사이트는 이런 위험성이 더 높다. 또 웹사이트를 방문했을 때 프로그램을 내려받으라는 창이 뜨면 신뢰할 수 있는 사이트나 기관의 인증이 없는 것은 설치하지 않는 것이 좋다. 설치를 피하려고 ‘아니오’를 눌러도 몰래 악성코드를 설치하는 경우가 있어 이럴 땐 ‘예’ ‘아니오’ 모두 건드리지 말고 그대로 X표시를 눌러 창을 닫는 것이 좋다. 김효섭기자 newworld@seoul.co.kr

국내 최고 수준의 해커와 보안전문가 3인에게 디도스(DDos 분산서비스거부) 공격으로 촉발된 사이버 테러의 진단과 해법을 들었다. 이들은 이번 사태는 “시작에 불과하다.”며 “영화에서나 볼 수 있는 국가시스템 변경, 정보빼가기 등 ‘국가마비’사태까지 올 수 있다.”고 경고했다. 이들이 밝힌 이번 사태의 원인과 향후 재발 가능성, 예방책 등을 정리했다. →이번 사태가 확산된 원인은 구사무엘 개인 사용자가 아무리 조심해도 바이러스, 악성 프로그램을 완벽하게 피하는 것은 불가능하다. 기존의 해킹은 강력한 바이러스가 취약점을 공격하는 방식이었는데 디도스는 이종격투기 선수 크로캅에게 일반인 100명이 덤비는 방식이다. 숫자로 밀어붙이면 장사가 없다. 김태일 이지스원 시큐리티 팀장 액티브X와 P2P 사이트 사용이 익숙하다 보니 사용자들이 다운로드에 대한 거부감이 없다. 내가 받는 프로그램이 내 PC에 어떤 영향을 미칠 것이라는 생각을 안하고, PC에 백신이 깔려 있다는 것을 과신하면서 업데이트에는 별로 관심이 없다. 특히 중국, 러시아 등에서 악성코드가 수십만원에 거래되는데 초보 수준의 해커들이 호기심으로 하는 디도스 공격을 쉽게 막다 보니까 기업들이 디도스를 우습게 안다. 박상수 나노아이티 이사 공격 규모를 볼 때 악성프로그램에 감염된 PC가 일제히 동원된 것으로 보인다. 이는 개인이나 소규모 집단의 힘으로는 불가능하다. 누군가 강력한 통제자가 배후에서 조종한 것이 확실하다. 특히 최근 들어 해커들이 자신이 감염시킨 PC의 코드를 500원에 사고파는 움직임이 있는데 이같은 거래 일반화가 사태를 키웠을 가능성이 높다. →더 심각한 사이버테러 발생 가능성은 구 (내가 한다면) KT, SK브로드밴드 등 DNS 서버 운영업체를 직접 공격하겠다. 개인이 인터넷 사이트에 접근하려면 DNS 서버를 거쳐야 하는데 이 서버를 막으면 모든 개인PC가 사실상 마비된다. 무엇보다 이번 사태에서 주목해야 할 부분은 디도스 자체보다 사이트 마비단계에서 생기는 보안공백이다. 아직까지 그런 움직임은 없지만 디도스 공격을 받은 업체가 서버를 재부팅하거나 임시 서버로 옮기는 과정에서 방화벽이 다시 세팅되는 등 보안환경이 취약해지는 순간이 있다. 해커들이 이 시점을 노려 주요 정보를 유출할 가능성이 얼마든지 있다. 김 예단하기 어렵지만 지난 2007년 에스토니아 국가기간망 해킹사건과 같은 국가마비 사태도 일어날 수 있다. 당시 주요전산망이 3주 간 정지됐는데 한국은 이들보다 인터넷 의존도가 더 높기 때문에 치밀한 공격이 이뤄질 경우 훨씬 더 큰 타격을 받을 가능성은 얼마든지 있다. 망이 잘 깔려 있다는 것은 확산 속도도 그만큼 빠르다는 얘기다. 박 한국의 인터넷 인프라는 전세계 해커들에게 자신의 실력을 시험해 볼 수 있는 매력적인 테스트베드다. 새로운 해킹기술이 등장하면 한국에 시험을 해 보는 것이 가장 정확하다. 자신이 개발한 해킹 프로그램의 수준을 가늠할 수 있고, 취약점도 보완할 수 있다. 이 때문에 영화에서나 볼 수 있는 정보 빼내기나 국가시스템 변경, 금융계좌 조작 등도 언젠가는 가능할 수 있다. →사태 해결책 및 예방책은 구 공격자에 따라 공격의 양상이 어떻게 변해 가는지 경우의 수를 분석한 대응매뉴얼을 만들어서 공유해야 된다. 경찰, 국가정보원, 군 등 정보보호당국간 서로 역할 분담이 정확히 이뤄지지 않으면 이번처럼 우왕좌왕할 수밖에 없다. 컨트롤 타워가 필요하다. 김 단기적으로는 디도스 공격시 트래픽 분산을 유도하는 장비를 도입하고, 장기적으로는 네티즌 인식 변화가 필요하다. 네티즌들이 악성프로그램을 이용한 사이버 공격에 자신의 PC가 악용될 수 있다는 사실을 인지하고 프로그램의 출처에 대해 좀 더 심각하게 고민해야 한다. 박 인터넷 회선망을 제공하는 업체들이 원천적인 해결책을 강구해야 한다. 비정상적인 컴퓨터가 인터넷에 접속할 수 없도록 일반 가정에 있는 모뎀, 공유기에 장치를 달아야 한다. 보안업체가 수십억원을 투입한다고 해도 디도스 공격은 해결되지 않는다. 문제를 원천적으로 봉쇄하려면 가정에서부터 1차적인 방어선을 구축해야 한다. 오달란 유대근기자 dallan@seoul.co.kr

국가정보원은 10일 인터넷 대란을 일으키고 있는 분산서비스 거부(DDoS·디도스)에 의한 사이버 테러를 북한 인민군 산하의 사이버 전쟁 전담 부대가 주도했을 가능성이 있는 것으로 국회에 보고했다. 국정원은 이날 국회 정보위원회에서 중국 선양(瀋陽)에서 활동 중인 110호 연구소 산하 사이버 요원들이 지난 6월말 한국기계연구원 등을 대상으로 디도스로 공격하는 사전 모의 훈련을 실시했다고 보고했다. 이와 관련, 선양의 한 소식통은 “현지 전문가들 사이에 문제의 ‘좀비 컴퓨터(악성코드에 감염된 컴퓨터)’가 선양을 통해 한국으로 들어간 것이 있다는 인식이 공유되고 있다.”고 전했다. 110호 연구소는 총참모부 정찰국 소속의 사이버 전쟁 전담 부대이다. 사이버심리전 부대 등을 포함해 모두 500여명이 활동하고 있다. 해외에 기업을 가장한 해커부대도 운영하고 있는 것으로 알려졌다. 국정원은 110호 연구소가 ‘남한의 통신망을 순식간에 파괴하는 것’을 목표로 삼고 있으며 중국과 동유럽 등지에 업체를 가장한 해커부대를 운영하고 있다고 덧붙였다. 아울러 국정원은 한국과 미국·중국·일본·과테말라 등 19개국의 92개 주소(IP·인터넷 프로토콜)를 통해 공격이 이뤄진 것으로 파악했다고 밝혔다. 그러나 정보위원회 민주당 간사인 박영선 의원은 “국정원은 특정해커의 수법 등을 들어 북한 또는 추종세력을 (배후로) 의심하고 있지만 ‘수사가 끝나지 않아 단정하기에는 이르다.’는 입장을 밝혔다.”면서 “110호 연구소도 북한 해커부대의 사례로 든 것이지 지목한 것은 아니었다.”고 말했다. 이지운 허백윤기자 jj@seoul.co.kr ■용어클릭 ●110호 연구소 북한 인민군 총참모부 정찰국에 속해 있다. 기존에 알려진 ’기술정찰국‘을 일컫는 것으로 알려졌다. 1990년대 초부터 평양 고사포사령부의 컴퓨터 명령체계와 적군 전파교란 등을 연구하던 인민무력부 정찰국 121소를 1998년부터 해킹과 사이버전 전담부대로 확대 개편한 조직이다.

이번 분산서비스거부(DDoS)공격에 진보된 기술이 사용되기는 했지만 컴퓨터 사용자의 보안의식 부재와 액티브X 남용도 화를 키웠다. 디도스 공격이 계속되자 KT와 SK브로드밴드 등 초고속인터넷 업체들은 지난 9일 가입자 중 악성코드에 감염된 사용자들에게 인터넷 접속이 되면 감염사실을 알리는 경고문구와 백신프로그램을 내려받으라는 팝업창을 띄었다. 이마저도 모자라 개별적으로 고객들이 백신을 내려받은 뒤 검사해야 한다고 안내전화까지 했다. 하지만 이같은 경고에도 불구하고 KT가입자 8600여명 중 백신치료를 한 가입자는 2300여명에 불과했다. 전화 등으로 경고한 SK브로드밴드 가입자 405명 중에서는 불과 3명만 악성코드를 치료했다. 이날 자정 악성코드가 PC의 하드디스크를 삭제할 수 있다는 경고를 듣고서 그때서야 부랴부랴 백신프로그램 등을 내려받은 경우가 많았다. PC에 백신프로그램을 사용하지 않은 경우도 많았고 설치했더라도 최신 버전으로 업데이트를 하지 않아 있으나마나한 경우도 적지 않다. 김홍선 안철수연구소 사장은 “악성코드에 감염된 좀비PC 사용자가 백신 업데이트를 하지 않아도 지금까지 본인에게 피해가 없었다는 점이 보안의식 부재로 이어졌다.”면서 “이런 보안의식 부재가 더 큰 피해 상황을 불러올 수도 있다.”고 말했다. 여기에 초고속인터넷 비중이 높아 적은 PC만으로도 디도스공격을 일으킬 수 있다는 점과 개인간 파일을 주고 받는 P2P 사이트 사용이 많다는 점도 디도스공격의 또다른 원인으로 꼽히고 있다. 보안 업계와 인터넷 관련 업계 전문가들은 국내 웹사이트들이 마이크로소프트(MS)의 ‘액티브X’에 의존하고 있기 때문이라고 입을 모은다. 액티브X는 웹브라우저에서 자동으로 소프트웨어를 설치하는 기술이다. 편리하지만 액티브X 등을 통해 웹사이트 관리자나 PC사용자 모르게 악성코드를 퍼뜨리는 용도로 악용될 수 있다. 보안에 취약해 외국에서는 우리나라만큼 많이 사용하지 않는다. 한 보안 관계자는 “보안에 취약한 액티브X를 많이 쓴다는 점에서는 우리나라는 해커가 좀비PC를 만드는데 최적의 조건을 제공하고 있다.”고 꼬집었다. 김효섭기자 newworld@seoul.co.kr

국가정보원은 10일 국회 정보위원회에서 한·미 주요 기관 인터넷에 대한 디도스(DDoS·분산서비스거부) 공격과 관련, 북한을 배후로 보는 이유를 보다 구체적으로 설명했다. ●北이 즐겨쓰는 해킹방식 국정원은 북한의 사이버 전쟁 전담 부대인 ‘110호 연구소’를 확실하게 지목하지는 않았지만 “6월 초 평양에서 (사이버) 공격 지시가 내려 왔다는 첩보를 입수했다.”면서 그 가능성을 에둘러 제기했다. 국정원은 이날 “그간 지속적으로 북한의 인터넷 해킹을 차단해 왔다. 이번 공격도 IP 추적 등을 통해 과거 공격과의 연관성을 분석하고 있다.”고 보고했다. 지난 3월에도 북한의 해커가 10여차례 해킹을 시도했으며 6월말에는 한국기계연구원 등을 대상으로 예행 연습도 했다고 보고했다. 국정원은 지난달 16일 국군기무사가 주최한 ‘국방정보보호 콘퍼런스’에서 우리 정부가 사이버 스톰 참여를 추진하고 있다고 밝힌 것이 북한에 공격 명분이 됐을 것으로 보고 있다. 국정원은 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것을 북한이 즐겨 쓰는 해킹 방식으로 소개했다. 또한 디도스 공격에 동원된 이른바 ‘좀비 컴퓨터’ 가운데 비주얼 스튜디오 등 전문가용 고급 프로그램을 쓰는 26대의 컴퓨터가 이용된 것으로 나타났다고 보고했다. 정보위 한나라당 간사인 정진섭 의원은 “고급 프로그램을 쓰는 몇 대의 컴퓨터를 특정해 (주요 기관 사이트의) 다운을 유도했는데 IP 역추적을 방어하기 위한 목적으로 이해된다.”고 말했다. ●민주당 “정황일뿐… 단정못해” 그러나 이날 국회 정보위의 비공개 간담회에서도 사이버 테러 배후 논란은 정리되지 않았다. 민주당 간사인 박영선 의원은 간담회 직후 기자들과 만나 “북한이 배후라는 것은 어디까지나 정황일 뿐”이라면서 “한·미 두 나라의 발표 내용에 차이가 있다. 국정원이 정황 증거만 갖고 얘기하는 것은 정보기관의 신뢰성에 회의를 갖게 한다.”고 꼬집었다. 이지운 허백윤기자 jj@seoul.co.kr

국내 최고의 해커 및 보안전문가들은 10일 최근의 분산서비스 거부(DDos 디도스) 해킹사태와 관련, 이번 사태는 시작에 불과하며 앞으로 KT, SK브로드밴드 등 DNS(도메인네임시스템·사용자가 입력한 홈페이지 주소를 IP로 바꿔 접속이 가능하도록 하는 역할) 서버를 운영하는 업체들이 해킹의 주요 타깃이 될 가능성이 있다고 경고했다. 또 해커들의 공격을 받은 업체가 서버를 재부팅하는 과정에 생기는 보안 공백을 활용해 해커들이 다시 공격할 가능성이 크며, 이 때 정보의 대량유출이 우려된다고 지적했다. 국내 인터넷 인프라가 세계 최고 수준인 만큼 앞으로 전세계 해커들의 집중적인 공격대상이 될 수 있다는 우려도 내놓았다. 이와 관련, 정부 당국자도 해킹 공격이 일단 종료되긴 했지만, 또다른 변종 공격 가능성은 있다고 밝혔다. 한국정보보호진흥원 주최의 해킹방어대회에서 2년 연속 우승한 구사무엘(20)씨는 “정부는 디도스 사태로 인한 접속장애에 초점을 맞추고 있는데, 실제로는 공격으로 인한 보안 공백 문제가 더 심각하다.”면서 “공격을 받은 업체가 서버를 재부팅하거나 임시 서버로 옮기면서 방화벽이 다시 구축되는 과정에 보안환경이 취약해지는데, 해커들이 이 시점을 궁극적인 목표로 삼을 가능성이 높다.”고 경고했다. 이어 “(내가 공격자라고 가정하면) 다음 테러 대상은 KT, SK브로드밴드 등 DNS 서버를 운영하는 업체가 될 가능성이 높으며, 이 경우 인터넷을 이용하는 모든 PC에서 접속불능 사태가 벌어질 수도 있다.”고 경고했다. 네이버카페 ‘디도스공격 방어전문가 및 피해자 모임’을 운영하고 있는 나노아이티 박상수(36) 이사는 “비정상적인 컴퓨터가 인터넷에 접속할 수 없도록 말단 PC부터 트래픽 감지 장치를 설치해야 한다.”고 말했다. 이어 “보안업체가 높은 수준의 백신 소프트웨어와 방화벽을 만들어도 트래픽 숫자만 늘리면 해킹이 가능하다.”고 주장했다. 10년 간 공공기관과 대기업 등을 대상으로 모의해킹을 실시해온 이지스원 시큐리티 김태일(34) 팀장은 “이번 사태가 모방범죄로 이어질 경우 상황은 여기서 끝나지 않을 것”이라면서 “2007년 에스토니아에서 사이버테러 때문에 국가 주요전산망이 3주 간 정지되는 일이 있었는데, 한국의 경우 IT인프라가 넓어 같은 사건에서도 피해가 훨씬 클 수 있다.”고 예방책 마련을 촉구했다. 한편 나흘째를 맞은 디도스 공격은 이날 오후 6시쯤 사실상 종료됐다. 정부 관계자는 “6시쯤부터 시작된 3차 디도스 공격이 종료단계에 들어갔다.”면서 “그러나 완전히 끝난 것은 아니며, 언제 어떤 형태로 나타날지 모른다.”고 말했다. 악성코드 때문에 하드디스크가 손상된 것으로 추정되는 PC 고장신고는 이날 오후 10시 현재 370건이다. 이창구 박건형기자 kitsch@seoul.co.kr

‘얼굴 없는 테러에 대비하라.’ 분산서비스거부(DDoS) 공격이 연일 이어지면서 대기업들도 바짝 긴장하고 있다. 삼성그룹은 계열사 서버를 관리하는 과천·대덕·구미·서초 등 4곳의 데이터센터에 통신망 트래픽이 갑자기 늘어나는지 등을 지속적으로 체크하고 있다. 현재까지는 이상징후는 나타나지 않았다. 삼성전자는 부서별로 개인 컴퓨터(PC)의 바이러스 감염 여부를 확인하고, 의심스러운 메일은 열어보지 말고 바로 삭제하도록 지시하고 있다. 삼성물산은 모든 임직원이 PC의 날짜를 7월10일 이전으로 맞추도록 했다. DDoS 공격 악성코드에 감염된 PC(좀비 PC)에 생성된 악성코드가 7월10일 0시를 기점으로 하드디스크를 파괴하는 기능을 갖고 있기 때문이다. 현대중공업은 정보보안팀내에 전담팀을 구성해 대응하고 있다. 특히 서버에서 회사 차원의 업무 영역과 개인 인터넷망을 완전히 분리함으로써 ‘좀비 PC’ 발생에 의한 업무 피해를 원천적으로 차단하고 있다. 현대중공업은 하이닉스와 함께 국정원 사이버 안전센터·한국정보보호진흥원이 운영하는 ‘고도해킹 탐지시스템’을 도입해 해킹에 대비하고 있다. 현대·기아차는 직원 15명의 PC에서 좀비 바이러스가 발견됐지만 백신을 통해 긴급 치료했다. 포스코는 정보보호그룹 IT보안파트에서 전담팀을 가동해 피해 발생에 대비하고 있다. 기존 보안프로그램인 ‘바이러스 체이서’ 외에 V3 백신을 추가로 설치했다. LG전자도 방화벽을 새로 점검하고 바이러스 차단 프로그램을 업데이트한 뒤 상황을 주시하고 있다. 온라인몰은 수많은 고객이 전자거래를 이용하기 때문에 특히 긴장하고 있다. 롯데백화점은 DDoS치료 백신을 전사적으로 배포하고 사용방법을 공지하고 있다. GS홈쇼핑은 사내 PC 및 네트워크의 검사를 강화하고 있다. CJ오쇼핑은 유사시에는 우회 도메인을 사용하는 등의 방법으로 피해를 막을 수 있도록 준비하고 있다. 김성수 이영표기자 sskim@seoul.co.kr

지난 9일 오후 방송통신위원회 브리핑실. 방통위와 한국정보보호진흥원(KISA) 관계자들이 들어섰다. 최시중 방통위원장과 국내 주요 인터넷서비스업체(ISP) 대표들이 논의한 디도스(DDoS·분산서비스거부) 대응책을 설명하는 자리였다. 관심사는 악성코드에 감염된 좀비PC의 인터넷 연결을 강제로 차단하느냐였다. 방통위는 회의 전에 배포한 보도자료에서 강제 차단을 강구하고 있다고 밝혔다. 하지만 회의 후 “법적 근거가 희박하고, 소비자들의 반발이 우려된다.”며 강제 차단은 하지 않을 것이라고 말을 바꿨다. KISA 관계자에겐 악성코드의 특징과 심각성을 묻는 질문이 이어졌지만 “상당히 지능적이다.”는 말만 하고 자리를 떴다. 답답한 취재진들은 회의 참석차 방통위에 들른 안철수연구소의 김홍선 사장을 마이크 앞에 세웠다. 김 사장은 “이번 악성코드가 공격기능, 포맷기능, 스케줄기능 등으로 분화돼 있어 변종이 계속 이뤄지고 좀비PC 하드디스크를 파괴시킬 수 있다.”고 했다. 방통위와 KISA에서 할 말을 김 사장이 대신한 셈이었다. 우왕좌왕하는 정부의 뒷북대응이 대란을 키우고 있다. 인터넷 보안 업무가 국가정보원, 방통위, 행정안전부, 경찰청 등으로 분산돼 있어 컨트롤타워 기능은 애초부터 기대할 수 없었다. 국내 인터넷 보안과 관련된 가장 많은 정보와 인력을 확보하고 있는 국정원은 ‘북한 배후설’만 내놓았을 뿐 국민들에게 코드 분석 결과나 예방책 등은 제공해 주지 않았다. 민간 보안업체들은 공격 초기부터 악성코드의 변종을 분석해 냈으나, 경찰청은 “변종이 아니다.”고 묵살했다. KISA는 “분석중”이라는 말만 되뇌었다. 안철수연구소는 지난 9일 새벽에 악성코드의 스케줄 기능을 해독, 3차 공격 대상 7개 사이트를 밝혔으나 정부는 오후 6시 실제 공격이 일어나고서야 이 예언을 실감했다. 특히 안철수연구소는 9일 새벽 86개 사이트에 좀비PC의 하드디스크를 망가뜨리는 파일 삭제 기능이 있는 파일이 숨겨져 있다고 각 국가기관에 통보했다. KISA는 위험 예고 등의 조치를 취하지 않고 일단 사이트 접속을 차단하는 선에서 그쳤다. 국정원, 경찰, KISA, 민간 업체가 힘을 모아 이 파일을 분석해 냈다면 10일 0시부터 진행된 좀비PC의 자폭 시간 규명도 훨씬 빨라졌을 것이다. 국가정보원이 이번 테러의 주범으로 밝힌 86개 사이트 인터넷 프로토콜(IP)도 결국은 안철수연구소가 통보한 것이다. 국가정보원과 경찰청은 10일 이 86개 IP를 통해 디도스 공격이 이뤄졌다고 밝혔다. 하지만 방통위와 KISA는 악성코드를 유포한 숙주 IP 5개를 발견해 차단했다고 밝혔다. 확인 결과 실제로 디도스 공격을 유발한 악성코드를 퍼트린 숙주 IP는 5개였고, 86개 IP는 파일을 파괴하는 악성코드를 숨겨놓은 것이었다. 지난 4일에는 미국에서 유사한 디도스 공격이 있었고, 국내에서도 조짐이 보였다. 방통위 관계자는 “미약한 디도스 공격은 1년에도 수십건씩 발생해 크게 신경쓰지 않았다.”고 말했다. 7일 오후 6시부터 대규모 공습이 시작됐지만 정부는 8일 새벽 1시30분에야 인터넷 침해사고 경보단계 중 ‘주의’ 경보를 발령했다. 이때 파악된 좀비PC 2만여대의 인터넷 접속만 차단했어도 사태가 이처럼 커지지는 않았을 것이라는 게 전문가들의 지적이다. 이창구기자 window2@seoul.co.kr

“언젠가는 이런 일이 벌어질 것이라고 오래 전부터 경고했습니다. 최선을 다했는데 결국 이런 사태가 벌어지자 허탈할 뿐입니다.” 김홍선 안철수연구소 사장은 9일 “분산서비스거부(DDoS) 공격으로 인한 사이버 대란은 국가의 전반적인 보안 불감증이 불러온 국가 재앙”이라고 강조했다. 김 사장은 “일부에서 DDoS공격을 원시적이라고 표현하는데 그건 해커끼리 실력을 뽐낼 때나 하는 말”이라며 “이번에 문제가 된 악성코드는 동시다발적이고 조직적이고 공격시간표까지 갖춘 고도의 기술이 동원된 공격”이라고 말했다. 이어 “현재로서는 공격이 어디까지 이어질지 장담할 수 없다. 악성코드는 국내에서만 발견됐고 감염된 PC를 망가뜨릴 가능성도 있다.”고 설명했다. 3차 공격에 대해선 “사실상 2차 공격의 연장선상이라고 볼 수 있다. 하지만 우리가 먼저 계획을 발표했기 때문에 공격대상을 바꿀 가능성도 있다.”고 밝혔다. 김 사장은 “이번 사태는 공격기지로 악용되는 감염된 개인 및 기업용 PC를 치료해야 해결할 수 있다.”면서 “하지만 악성코드로 인한 개인들의 피해가 없어 백신 프로그램을 통한 치료 필요성을 체감하지 못해 감염 치료가 더딘 측면도 있다.”고 설명했다. 정부에 대해서도 쓴소리를 했다. 김 사장은 “국가와 기업, 개인 모두는 DDoS 공격뿐만 아니라 앞으로는 더 지독한, 상상할 수 없는 사이버 테러에 대비해야 한다.”며 “인터넷 보안문제를 소홀히 했다간 국가 차원의 엄청난 피해를 볼 수 있다.”고 경고했다. 또 “보안문제가 터져도 그때뿐이고, 정작 내 돈 주고 백신프로그램을 산다는 생각은 안 한다.”고 꼬집었다. 이어 “미국은 물론 일본만 해도 연간 백신시장 규모가 우리나라의 20배가 넘는 1조원에 이르지만 우리는 3만~4만원의 개인용 백신프로그램 설치조차 비싸다며 무시하는 현실이 안타깝다.”고 꼬집었다. 김 사장은 “정부 조달에서도 하드웨어만 돈을 주고 그 안에 들어가는 소프트웨어 구매는 신경쓰지 않을 정도로 보안에 대한 가치인식이 없다.”며 “사건이 터질 때마다 그때만 반짝하는 똑같은 대책만 쏟아 내지 말고 국가안보·기업이익 가치를 키우는 차원에서 보안인력·인프라를 구축해야 한다.”고 지적했다. 김효섭기자 newworld@seoul.co.kr

│워싱턴 김균미특파원·서울 김효섭기자│미국은 한국과 미국의 30여개 정부와 민간 인터넷 사이트를 대상으로 한 사이버공격의 배후로 북한을 주목하고 있다고 AP통신과 폭스뉴스가 8일(현지시간) 보도했다. AP통신은 이날 익명을 요구한 미국 정부 관리 3명의 말을 인용, 한국과 미국에 대한 사이버공격을 한 인터넷 주소가 북한으로 추적됐다고 전했다. 이 관리들은 그러나 이는 이번 사이버 공격이 반드시 북한 정권과 관련돼 있다는 것을 의미하지는 않는다고 말했다. 폭스뉴스도 미 국방부 관리의 말을 인용, 한국과 미국에 대한 사이버공격의 배후는 북한이라고 보도했다. 그러나 이언 켈리 국무부 대변인은 정례 브리핑에서 사이버공격에 대해 조사 중이지만 아직까지 공격의 주체를 확인하지는 못했다고 신중한 입장을 보였다. 백악관과 국방부는 이번 사이버공격으로 홈페이지와 컴퓨터 시스템에 이상이 없다고 밝혔다. 하지만 전문가들은 공격 진원지에 대해선 의견이 엇갈렸다. 미국의 보안업체인 시큐어웍스의 연구원 조 스튜어트는 뉴욕타임스와의 인터뷰에서 “공격에 이용된 소프트웨어에 get/China/DNS라는 문구가 들어 있다.”면서 이는 중국의 인터넷 시스템을 경유했다는 것을 의미한다고 설명했다. 또 이번 공격에는 한국어 브라우저를 이용한 것으로 보인다고 말했다. 반면 국내 보안업체 쉬프트웍스는 악성코드를 분석한 결과, 미국의 인터넷주소(IP)인 ‘75.151.XXX.XXX’를 사용하는 가상서버로 연결됐다고 주장했다. 문제의 서버는 영문 윈도 서버 2000이 깔려 있는데 시간 설정도 미국 중서부 현지 시간에 맞춰져 있었다고 밝혔다. 쉬프트웍스측은 이 서버에 있는 파일에서 이번 사이버 공격을 하는 악성코드를 실행시키거나 삭제한다고 설명했다. 아울러 악성코드의 파일 안에는 ‘독립기념일을 기념하며(Memory of the Independence Day)’라는 문구도 들어 있다고 밝혔다. 또 인터넷 보안업체 시만텍은 악성코드가 접속을 시도한 서버 3곳의 IP가 오스트리아와 덴마크였다고 밝혔다. kmkim@seoul.co.kr

분산서비스 거부(DDoS) 공포가 이틀째 전국을 강타하면서 인터넷 이용자들의 불안감이 확산되고 있다. 테러를 주도한 세력이 아직 밝혀지지 않은 상황에서 9일 오후 3차 디도스 공격이 발생하자 인터넷 이용자들은 컴퓨터를 켜는 것조차 꺼려하는 모습이다. 개인정보 유출을 고민하는 사람들도 늘고 있다. 특히 생업에 종사하기 위해 컴퓨터를 필수로 사용하는 시민들과 컴퓨터에 익숙하지 않은 중장년층들의 한숨은 더욱 커지고 있다. 서울 대흥동에 사는 회사원 안모(32·여)씨는 “혼수를 장만하기 위해 인터넷쇼핑몰에서 가스 오븐레인지 등 주방 가전제품을 150만원어치나 주문했다.”면서 “사이버 테러 때문에 결제가 잘못됐거나 정보가 유출된 게 아닌지 걱정돼 하루에도 몇 번씩 쇼핑몰 사이트에 접속한다.”고 걱정했다. 부산에서 부동산 중개업을 하는 김상진(55)씨는 “사무실 컴퓨터에 보안 패치를 깔아보려고 한 시간 넘게 혼자 씨름하다가 잘 해결이 안 돼 서울에 있는 대학생 아들에게 전화했다.”면서 “아들이 주말에 내려와 손봐주겠다고 해서 일단 컴퓨터 전원코드와 인터넷 선을 다 뽑아 두었다.”고 말했다. 미국에서 어학연수 중인 딸과 이메일을 자주 주고 받는 김화자(48·여)씨 경우도 마찬가지다. 김씨는 “전날 딸이 전화해서 ‘스팸메일은 절대 열지 말고 첨부파일이 있는 이메일은 바로 삭제하라.’고 말했다.”면서 “악성코드 때문에 좀비PC가 될 수 있다고 하는데 솔직히 무슨 소리인지 하나도 모르겠다.”며 어리둥절해했다. 정부의 대처방식에 불만을 터뜨리는 시민들도 적지 않았다. 서울 돈암동에 사는 회사원 이모(28·여)씨는 “청와대와 국정원 사이트까지 뚫릴 정도로 심각한 상황인데 관련당국이 원인과 앞으로의 파장을 시원하게 설명해줬으면 좋겠다.”면서 “내 컴퓨터가 좀비PC 2만 9000대 중 하나인지 진단할 수 있는 방법과 보안패치 사용법도 알려달라.”고 주문했다. 이번 사이버테러를 일으킨 범인이 북한과 연관 있다는 국정원의 주장에 의문을 제기하는 사람도 있었다. 인천에 사는 자영업자 최모(43)씨는 “인터넷 강국인 한국이 속수무책으로 당하고 있다는 게 믿어지지 않는다.”면서 “범인을 잡기도 전에 북한 또는 친북세력이 공격을 주도했다는 말이 흘러나오는 것이 상식적으로 이해가 안 된다.”고 주장했다. 네티즌들은 이번 사건을 계기로 근본적인 보안대책을 세워야 한다는 의견을 내놓았다. 다음 아고라의 ‘은서아빠’는 “인터넷 접속 PC의 백신사용을 의무화해 미래의 안보전쟁에 대비해야 한다.”고 제안했다. 오달란기자 dallan@seoul.co.kr

디도스(DDoS) 공격이 계속되면서 피해도 눈덩이처럼 불어나고 있다. 피해액이 체르노빌 바이러스(CIH) 사건 때보다 클 것이라는 주장도 제기되고 있다. 1차 공격이 단순히 트래픽(접속량)을 폭증시키는 것에 머물렀지만, 2차 공격 이후부터는 감염된 PC(좀비 PC)의 시스템을 파괴시킬 가능성까지 있어 사태가 장기화될 경우 국내 인터넷 체계가 무너질 우려마저 낳고 있다. ●1·2차 공격서 PC 5만여대 감염 9일 오후 6시부터 재개된 3차 공격은 국회, 국방부, 외교통상부, 조선닷컴, 국가정보원, 국민은행 등을 목표로 삼았다. 특히 국민은행 홈페이지는 6시5분부터 30분 간 열리지 않았다. 이들 사이트는 앞선 1~2차 공격도 당했기 때문에 사전에 서버 처리 능력을 향상시키거나, 방어장비를 도입해 큰 피해를 막았다. 8일 저녁에 발생했던 2차 공격은 1차 공격 대상이었던 청와대와 네이버 등 6개 사이트와 국가정보원, 행정안전부, 안철수연구소, 다음, 우리은행, 국민은행 등 새로운 10개 사이트를 목표로 했다. 1차 공격에서 2만 3000여대의 PC가 악성코드를 배포하는 ‘좀비PC’로 전락한 데 이어 2차에서는 2만 9000여대의 좀비PC가 추가로 나타났다. ●99년 CIH바이러스보다 피해 클듯 국정원 사이버안전센터와 안철수연구소, 이스트소프트 등 주요 보안 관련 기관과 회사가 공격을 당해 이번 사태에 대한 정보를 얻고 관련 백신을 내려받으려는 이용자들이 큰 불편을 겪었다. 특히 은행권의 경우 1차 때 농협, 신한은행, 외환은행이 당한데 이어 국민은행, 기업은행, 우리은행, 하나은행 등 4곳이 새롭게 타깃이 돼 인터넷뱅킹 이용에 큰 차질이 빚어졌다. 안철수연구소 김홍선 사장은 “15년 간 보안업계에서 일하는 동안 겪은 최악의 사이버테러”라며 “피해 규모가 1999년 CIH바이러스 사건보다 커질 수 있다.”고 말했다. 1차 때 하루 종일 서비스가 중단됐던 옥션은 2차 공격에서도 피해를 보며 큰 손실을 입게 됐다. 옥션은 하루 평균 거래액이 74억원 상당으로, 연이틀 30억원 가까운 피해를 입은 것으로 알려졌다. ●포털·옥션 웹주소 바꿔 서비스 재개 공격 대상이 된 포털 등 인터넷 서비스 업체들은 URL(웹상 주소)을 살짝 바꾸는 방법으로 공격을 피해가고 있다. 네이버 메일은 메일 서버 주소를 ‘mail2.naver.com’으로 우회시켜 서비스를 재개했다. 다음 메일도 ‘mail.daum.net’이던 URL을 ‘mail2.daum.net’으로 바꿨다. 옥션도 URL을 ‘auction.co.kr/default.html’로 우회시켰다. 이런 방식이 통하는 것은 이번 디도스 공격 대상의 URL이 악성코드에 미리 지정돼 있기 때문이다. 해커들이 원격조종으로 공격대상을 변경할 수 없으므로, 방어하는 측에서 URL을 바꾸면 공격을 피해 갈 수 있다. 하지만 해커들이 언제든 이 조치에 대응하는 변종 코드를 퍼뜨릴 가능성이 있어 근본적인 해결책은 될 수 없다. 보안업체 하우리의 김정수 과장은 “해커가 치밀하게 계획한 스케줄과 프로그램에 따라 공격이 이뤄지고 있을 뿐만 아니라 공격 대상을 수시로 바꾸거나 악성 코드를 더 치명적인 코드로 변화시킬 조짐마저 보인다.”면서 “모든 인터넷 이용자가 일심동체가 돼 보안 패치와 백신을 수시로 업데이트하는 방법밖에는 없다.”고 말했다. 이창구 김효섭기자 window2@seoul.co.kr [서울신문 다른기사 보러가기] 추신수 “선생님! 아드님은 제가 책임질테니…” 세계 누비는 국산 경찰차 “여성도 군대보내 남성 기본권 신장을” 삼성전자 효자사업 반도체서 TV로 비정규직 강남 실업급여창구 가보니

인터넷 대란을 일으키고 있는 분산서비스거부(디도스·DDos) 공격이 장기화될 조짐을 보이고 있다. 9일 저녁에도 3차 공격이 일어나 일부 사이트가 공격당했다. ☞ ‘DDoS 악성코드 전용백신’ 다운로드 하러가기 　공격을 실행하는 악성 코드가 여러 차례의 공격을 거치면서 다양한 형태의 변종으로 발전되는 데 비해 유포자나 해커를 추적하는 작업이 난항을 거듭하고 있기 때문이다. 방송통신위원회는 사태가 더 심각해지면 좀비PC의 인터넷 접속을 완전 차단하는 방안도 고려하고 있다. 정부와 인터넷보안 업계에 따르면 디도스 공격을 주도하는 악성코드는 사전에 공격 시간 및 공격 대상 등이 정교하게 짜여져 있고 공격기능, 다운로드 기능을 분담하는 여러개의 파일로 구성된 데다 백신이나 보안벽에 막힐 경우 스스로를 변종시키는 능력을 가졌다. 　실제 행정안전부 전자정부사이트 등 7개 사이트를 대상으로 한 3차 공격에서도 국민은행과 조선닷컴의 접속이 어려워지기도 했다. 악성코드가 24시간 동안만 공격을 하도록 만들어진 것은 물론 악성코드 중 일부는 하드디스크를 손상시키고 데이터를 파괴하는 등 감염된 PC에 치명적인 손상을 일으킬 수도 있다. 안철수연구소 김홍선 사장은 “악성 코드에 해박한 해커들의 조직적이고 지능적인 범행으로 보인다.”고 밝혔다. 이명수 한국정보보호진흥원 인터넷침해사고대응센터장도 “지능화된 공격”이라고 말했다. 다만 “어렵지만 실마리를 찾아 가고 있다.”고 덧붙여 여운을 남겼다. 　경찰청 사이버테러대응센터는 16개 사이트에서 발생한 2차 공격에 사용된 ‘좀비 PC(감염된 컴퓨터)’ 2대를 서울 사당동의 한 PC방에서 확보해 분석에 들어갔다. 또 1차 공격에 사용된 PC 3대를 추가로 확보해 감염경로를 조사 중이다. 김재규 수사본부장은 “이들 컴퓨터가 공통으로 갖고 있는 프로그램이 어떤 사이트에서 유출됐는지 확인하면 최초 게시자를 찾을 수 있을 것”이라고 설명했다. 수사반은 이번 대규모 감염이 인터넷 파일공유(P2P)사이트의 ‘야동’이나 ‘MP3파일’ 공유에서 비롯된 것으로 추정하고 있다. 　방송통신위원회는 KT, LG데이콤, SK브로드밴드 등 국내 인터넷망을 책임지고 있는 정보통신서비스제공자(ISP)들에게 악성코드를 보유한 좀비PC의 인터넷 접속을 제한해 달라고 요청했다. 우선 한국정보보호진흥원 및 주요 ISP 등에서 파악하고 있는 좀비PC가 인터넷에 접속하려는 경우에는 먼저 백신을 실행한 후에 접속이 가능하도록 하는 서비스를 시행해 달라고 요구했다. 최시중 위원장은 “상황에 따라 서비스 차단 등이 필요할 수 있다.”면서 “실행방안을 마련해 추진하는 것을 검토해 달라.”고 말했다. 　정부는 권태신 국무총리실장 주재로 긴급차관회의를 열고 추가 예산을 편성해 올해 안으로 트래픽 분산 장비를 확충하기로 했다. 또 공공기관마다 자동 백신 프로그램 가동 시스템을 구축하는 한편 사이버 보안 관련 법안을 종합적으로 검토, 재개정하기로 했다. 한편 경찰은 지난 3월 DDoS공격을 이용해 게임물등급위원회 네트워크를 마비시킨 게임업체 대표 최모(39)씨를 구속하고 양모(37)씨 등 직원 2명을 불구속 입건했다. 이들은 악성코드가 결합된 음란물 등을 유포해 컴퓨터 7400여대를 감염시키고 위원회 온라인 시스템을 공격해 업무를 마비시킨 혐의를 받고 있다. 이창구 박건형 이영준기자 window2@seoul.co.kr

지난 7일부터 한국과 미국의 주요 기관을 대상으로 시작된 사이버테러가 공격 대상을 무차별적으로 넓히고 있다. 온 나라가 ‘사이버 공황’ 상태다. 26개 사이트가 1차 공격을 받은 데 이어 엊그제 국가정보원과 국내 대표 보안백신업체인 안철수연구소 등 16개 사이트가 2차 공격을 받았다. 어제는 행정안전부·네이버 등 7곳이 또 테러를 당했다. 국가의 안위와 국민경제의 근간을 뒤흔드는 인터넷 재앙이다. 전문가들은 이번 사이버테러가 변종 악성코드까지 심어 스스로 공격대상을 바꾸도록 하는 등 복잡한 양상으로 전개되고 있는 점에 주목한다.이번 사태는 한국이 ‘IT강국’을 자임해 왔지만 정작 불침번 구실을 해야 할 사이버 보안에 대해서는 후진성을 면치 못하고 있음을 여실히 보여 줬다. 디도스(DDoS·분산서비스거부) 사이버테러가 ‘상시적’으로 있어 왔음에도 국가 차원의 신속한 대응은 이뤄지지 못했다. 17개 공공분야 가운데 디도스 대응 시스템이 구축된 곳은 고작 3곳에 불과한 실정이다. 정부가 어제 긴급 관계부처 차관회의를 열어 국가안보 차원의 총체적인 사이버 안보대책을 세워 나가기로 한 것은 그나마 다행이다. 이에 맞춰 여야는 9개월째 잠자고 있는 ‘국가 사이버위기 관리법안’이 조속히 통과될 수 있도록 힘을 모아야 할 것이다.사이버테러는 고도의 지능형 범죄다. 그런 만큼 범인을 원천적으로 색출하기 어렵다. 정부는 ‘사이버범죄 취약국’이란 오명을 씻기 위해서라도 테러의 배후를 철저히 밝혀내야 한다. 국정원이 북한과 종북세력을 배후라고 판단한 데 이어 미 국방부도 북한을 지목하고 있다. 그러나 이번 해킹대란의 진원지가 미국 IP라는 주장도 제기되는 등 아직 실체가 분명하게 드러나지 않은 상태다. 먼저 북한이 공격의 진원인지 아니면 단순한 해커의 소행인지 철저히 가려내고 국제사회가 이에 상응하는 대처방안을 강구하도록 해야 할 것이다.