2009년 7월7일 주요 인터넷 사이트 23곳이 한동안 마비된 '7·7 디도스 대란'이 일어난 후 20개월만에 이같은 악몽이 되살아났다. 지난 4일 40여곳의 사이트가 공격당한 '3.4 디도스 대란'이다.
특히 이번 디도스 공격을 일으킨 악성코드는 7.7대란 때보다 업그레이드됐다는게 보안업계의 분석이다.
안철수연구소는 이번 공격의 가장 큰 특징은 7.7 디도스 대란과 유사했지만 더욱 업그레이드된 공격을 했다고 밝혔다.
우선 7.7 때는 마지막 디도스 공격 날인 10일 자정에 하드 디스크와 파일이 손상됐다. 이에 따라 안철수연구소 등은 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다.
그런데 이번에는 공격자가 날짜를 이전으로 바꾸며 하드디스크를 파괴하고, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에도 하드 디스크를 파괴하도록 했다.
또 손상시키는 운영체제도 7.7 때는 닷넷 프레임웍 기반인 윈도우 2000/XP/2003에 국한됐으나, 이번에는 모든 윈도우 운영체제가 해당된다.
아울러 7.7 때는 같은 파일 구성으로 여러 차례 공격했으나, 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작됐다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다. 이에 따라 분석과 대응에 시간과 노력이 더 들었다.
7.7 대란때 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다. 또한 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 새로 추가됐다.
한편 방통위와 안철수연구소에 따르면 지난 6일 오후 6시까지 디도스 악성코드로 인해 파괴된 하드디스크는 62건으로 집계됐다. 이를 포함해 4일부터 7일 오전까지 디도스 공격에 동원된 좀비PC는 총 7만73200대 규모다.
보안업계는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았으나, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다.
즉 디도스 공격의 발원지인 PC에서 악성코드를 깨끗이 치료하는 것이 근원적인 해법이다.
또 인터넷 서비스 제공자는 웹사이트가 디도스 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다.
강세훈 기자
kangse@newsis.com