"루트서버 공격에 좀비PC 수백만대 동원"

"혹시 내 PC도 이번 공격에 동원된 것 아닐까?"

지난 6일(이하 현지 시간) 루트 서버(root server)를 겨냥한 대규모 서비스 거부(DOS) 공격에는 전 세계에 흩어져 있는 수 백만 대의 좀비(Zombie) 컴퓨터가 동원됐다고 테크웹이 7일 보도했다.

'좀비'란 바이러스에 감염되거나 원경 조종 소프트웨어(백 도어)의 명령에 따라 움직이고 있는 컴퓨터를 의미한다. 좀비는 바이러스를 감염시키거나, 다른 컴퓨터나 네트워크 침입의 발판이 되기 때문에 상당히 성가신 존재로 받아들여지고 있다.

하지만 정작 사용자는 자신의 PC가 좀비로 이용되고 있다는 사실을 전혀 알지 못해 해커들의 공격에 무방비 상태로 방치되는 것이 일반적이다.

이번 루트서버 공격 사건을 조사하고 있는 전문가들은 개인들도 자신들의 컴퓨터가 '좀비'로 전락하는 것을 막기위해 각별한 신경을 써야 할 것이라고 주장했다.

◆"알지 못하는 사이에 공격에 동원"

루트서버를 겨냥한 분산서비스거부(DDOS) 공격이 시작된 것은 6일 5시30분(동부시간 기준) 경. 전 세계 곳곳으로부터 루트서버를 향해 엄청난 트래픽이 몰려들면서 순식간에 루트서버 세 대가 과부하 상태까지 몰렸다.

당시 DDOS 공격으로 루트서버 세 대의 반응 속도가 상당히 느려졌던 것으로 알려졌다. 이번 공격은 지난 2002년 10월 루트서버를 겨냥한 공격이후 최대 규모로 추정되고 있다.

전문가들은 전 세계에 흩어져 있는 좀비 PC와 노트북들이 루트서버 공격에 동원된 것으로 판단하고 있다.

보안회사 소포스의 그레이엄 클루리 수석 기술 컨설턴트는 테크웹과의 인터뷰에서 "개인들이 알지 못하는 사이에 이번 공격에 동원됐다"라고 주장했다. 그는 컴퓨터 사용자들은 이 같은 문제를 예방하기 위해 강한 책임감을 가져야 할 것이라고 강조했다.

국제 비영리 인터넷 보안 기구인 산스 인스티튜트(Sans Institute)의 요하네스 울리히 최고리서치책임자(CRO) 역시 비슷한 입장이다. 울리히는 SANS 산하 ISC(Internet Storm Center)의 최고기술책임자(CTO)도 겸하고 있다.

요하네스 울리히는 "전 세계 곳곳에 흩어져 있는 정보들이 루트서버를 강타했다"라면서 "이번 공격은 분산공격이었다"라고 말했다. 그는 또 이번 공격을 감행한 해커들은 수 백만 대의 좀비 컴퓨터를 이용했을 가능성이 높다고 주장했다.

울리히는 현재 ISC는 매일 100만 대 가량의 감염 시스템을 추적하고 있지만 이 같은 수치는 전체의 10% 정도에 불과할 것이라고 강조했다.

◆루트서버는 인터넷의 심장부

이번에 해커들의 타깃이 된 루트서버는 도메인 네임 시스템(DNS)에서 중심적인 역할을 한다. 닷컴, 닷넷, 닷org 등을 비롯해 각국의 국가코드 같은 최상위 도메인의 원본 목록이 유지될 수 있도록 하는 것도 바로 루트서버이다.

최상위 도메인의 원본 목록은 'A'로 불리는 중앙 서버에 저장돼 있다. 이 서버는 도메인 관리회사인 네트워크 솔루션즈(NSI)가 운영하고 잇다.

A서버의 목록은 다른 지역에 흩어져 있는 12개의 파일서버에 매일 복제된다. 이처럼 루트서버는 전 세계에서 13대가 운영되고 있으며 이 중 10대가 미국에 설치돼 있다.

루트서버는 또 URL을 숫자로 된 IP 주소로 변환해 컴퓨터들이 인식할 수 있도록 해 주는 역할도 담당한다. 사실상 전 세계 인터넷 트래픽을 총괄하고 있는 것이나 다름 없다. 따라서 루트서버가 다운되면 인터넷 트래픽 자체가 마비될 수도 있다.

지난 6일 공격 때는 루트서버 13대 중 3대가 다운직전 상황까지 갔던 것으로 알려졌다. 하지만 당시 DOS 공격이 진행되는 동안 나머지 10대의 루트서버들이 백업 역할을 해주면서 정상운영될 수 있었다고 전문가들은 주장했다.

이처럼 정교한 공격에도 불구하고 루트서버가 별다른 타격을 받지 않았던 것은 지난 2002년 공격 이후 루트서버 보안을 대폭 강화한 것이 주효했다고테크웹이 전했다.

김익현기자 sini@inews24.com