맹꽁이의 찬양

"이 백성은 내가 나를 위해 지었나니 나의 찬송을 부르게 하려 함이니라"(사43:21)

동트자 이틀째 무차별 공격… 수만대 '좀비컴퓨터' 동원됐다

댓글 0

넌센스 개그

2009. 7. 9.

IT

동트자 이틀째 무차별 공격…

수만대 '좀비컴퓨터' 동원됐다

 

어떻게 다운시켰나

PC 한대가 수천번 접속

트래픽 과부하에 무너져

경찰, 공격 발원점 수사

 

공격 개시일은 '7월 7일'이었다. 이날 오후 6시20분쯤 청와대·국회·국방부·조선일보 등 국내 주요 기관 사이트 12개에 방문자가 폭증하기 시작했다. 전국 곳곳의 컴퓨터들이 한 대당 1초에 수백~수천번씩 해당 사이트에 접속을 시도했다. 이처럼 비정상적으로 접속을 시도하는 컴퓨터가 수천~수만대에 이르자 각 사이트는 엄청난 트래픽(traffic·통신 신호량)을 감당하지 못해 다운되고 말았다. 공격대상 가운데 언론사는 조선일보뿐이었다.

같은 시각 백악관과 국무부 등 미국 주요 기관 사이트들도 비슷한 공격을 받아 마비됐다. 악성코드에 감염된 개인 컴퓨터 수만대가 '공격대상'으로 지목된 사이트에 집중적으로 접속하게 해서 해당 사이트를 마비시키는 이른바 '디도스(DDoS·분산서비스 거부)' 공격의 시작이었다. 이게 끝이 아니었다.

7일 발생한 사건에 대한 당국의 수사가 본격화된 8일 오후 6시쯤부터는 우리·하나·기업은행을 비롯해 국가정보원 국가사이버안전센터와 보안백신업체인 안철수연구소에 대한 2차 공격이 개시됐다. 누가 이 같은 공격을 했을까?

8일 경찰청 사이버테러대응센터는 한·미 주요 기관 사이트 공격사건을 수사할 전담반(총 24명)을 구성해 수사에 착수했다.

경찰은 8일 새벽 서울 동대문구 청량리에 있는 한 가정집에 있는 컴퓨터가 이번 디도스 공격에 동원된 것을 확인하고, 주인으로부터 해당 컴퓨터를 넘겨받아 범인을 추적하기 시작했다. 경찰 조사 결과, 이 컴퓨터는 청와대 사이트를 시작으로 국내외 주요 사이트를 순차적으로 집중 방문하도록 만들어진 악성코드에 감염된 것으로 드러났다. 이어 검찰은 이 악성코드가 서울 동대문구의 한 케이블방송 사업자의 인터넷 서비스 가입자들을 통해 확산된 사실을 확인했다고 밝혔다.

일반적으로 디도스 공격에 동원되는 컴퓨터는 대부분 개인 컴퓨터들로, 사용자가 무심결에 열어본 이메일이나 파일 등을 통해 따라 들어온 악성코드에 감염된 컴퓨터다.

전문가들은 이런 컴퓨터를 '공격수행 컴퓨터'(보트넷·Botnet) 혹은 '좀비 컴퓨터'라고 부른다. 컴퓨터 사용자는 악성코드에 감염된 사실을 전혀 모르는 채 웹서핑 등 일상적인 용도로 컴퓨터를 사용하는데, 악성코드에 감염된 컴퓨터는 마치 좀비처럼 주인이 시키지 않았는데 멀리 있는 '공격명령 서버'의 명령에 따라 특정 사이트를 초당 수백~수천번씩 방문하는 '범행'을 저지르는 것이다.

곳곳에 흩어진 '좀비 컴퓨터'에 '공격 개시 명령'을 내리는 것이 '공격명령 서버'(Command & Control Server)다. 공격명령 서버는 자신이 감염시킨 수천~수만대의 컴퓨터에 '○○○사이트를 공격하라'는 명령을 내린다. 이 공격명령 서버를 조종하는 이가 해커다.

사이버테러 감시하는 눈 8일 서울 송파구 가락동 한국정보보호진흥원(KISA) 인터넷침해사고대응센터 상황실에서 한 직원이 주요 사이트의 해킹여부를 감시하고 있다./이준헌 객원기자 jeon@chosun.com
경찰은 "해커가 디도스 공격을 개시할 때는 공격명령 서버를 몇 개씩 동원한다"며 "보안이 허술한 중소 규모 IT업체의 서버를 해킹해서 사용하는 경우가 많다"고 했다. 수만대의 컴퓨터에 동시에 명령을 내리기 위해서는 대용량 서버가 필요한 까닭이다.

반면 공격명령 서버를 동원해서 공격개시 명령을 내리지 않고, 악성코드를 유포시키기만 하는 해커도 있다. 특정한 시점에 자동으로 특정 사이트를 공격하게 한 '시한폭탄'형 악성코드를 잔뜩 퍼뜨려서 경찰이 해커를 뒤쫓지 못하게 막는 수법이다.

검찰과 경찰은 이날 동대문구 케이블방송 사업자의 서버를 조사하는 한편, 국내 피해 기관들의 협조를 얻어 디도스 공격이 시작되기 직전의 로그온 기록(방문기록)을 분석 중이다. 악성코드에 감염된 좀비 컴퓨터를 최대한 많이 확보한 뒤, 이 좀비 컴퓨터들이 최근 공통으로 방문한 사이트가 어디인지 찾아서 어디서부터 공격이 시작됐는지 찾겠다는 것이다.

8일 오후 6시쯤부터 시작된 2차 DDoS 공격에 대해 검찰과 경찰은 해커가 '공격명령 서버'를 통해 좀비 컴퓨터에 새로운 공격 명령을 내렸을 가능성과 이미 유포된 악성코드에 '2차 공격'이 사전에 내장돼 있을 가능성 모두를 염두에 두고 수사를 벌이고 있다.

 

37785


☞ 좀비 PC

해커가 특정 사이트를 공격하기 위해 악성 코드(바이러스)로 감염시킨 PC를 말한다. PC 사용자는 자신의 컴퓨터가 코드에 감염된 줄도 모르는 경우가 대부분이다. 해커가 이들 PC를 동원, 특정 인터넷 사이트에 대량의 접속 신호를 보내 해당 사이트를 다운시킨다.