작년 좀비PC가 또 디도스 공격 유발

지난 해 7.7 디도스(DDoS, 분산서비스거부) 대란 때 제대로 치료되지 않은 좀비PC들이 1년 만에 또 다시 공격을 감행한 것으로 나타났다.

방송통신위원회는 7일 저녁 일부 국가기관과 민간기업 홈페이지를 대상으로 발생한 소규모 DDoS 공격이 치료되지 않은 좀비PC 때문이라고 8일 발표했다.

안철수연구소를 비롯한 보안업체들 역시 같은 분석을 내놨다. 이에 따라 보안업체들은 전용백신을 배포하는 등 일제히 대응에 나섰다.

◆방통위, 적극 대응 나서

방통위 측은 공격에 동원된 좀비PC에서 악성코드 샘플을 채취해 KISA 인터넷침해대응센터를 통해 분석한 결과 이같은 결론을 얻었다고 밝혔다.

특히 방통위는 이번의 DDoS 공격이 작년과 동일한 사이트에 대하여 동일한 공격기법을 사용하고 있으며, 좀비PC가 치료되지 않으면 오늘(7.8)과 내일(7.9)에도 해당 좀비PC들이 추가적인 공격에 동원될 수 있을 것으로 전망했다.

이에 따라 정부는 잔존하는 좀비PC 치료를 위해 KT, SK브로드밴드, LG유플러스 등 인터넷접속사업자(ISP)에게 7일 공격에 사용된 좀비PC 목록을 제공함으로써 좀비PC 사용자에게 팝업이나 전화로 감염사실을 통보하여 치료토록 하는 등 대응에 나섰다.

또한 좀비PC 치료 정도에 따라 오늘과 내일, 추가적으로 발생할 것으로 예상되는 공격에 대비하기 위해 정부통합전산센터 및 KISA 인터넷침해대응센터를 중심으로 비상대응체계를 유지하고, DDoS 공격 발생 시 해당기관 및 유관기관과의 공조를 통해 신속하게 대응할 계획이다.

아울러 주요 백신업체(안철수연구소, 하우리, 이스트소프트, 에스지어드밴텍, 잉카인터넷 등)가 공급하고 있는 기존의 백신프로그램들이 해당 악성코드를 치료할 수 있는 만큼 인터넷 이용자들이 자신의 PC가 DDoS 공격에 악용되지 않도록 백신프로그램을 설치해 점검해 주기를 당부했다.

향후 기술적인 지원 또는 도움이 필요한 인터넷 이용자들은 한국인터넷진흥원(KISA)의 보호나라 홈페이지(www.boho.or.kr)나 행안부 정부통합전산센터(www.ncia.go.kr)를 방문하거나, e콜센 118(국번 없이 118)에 전화하여 전문 상담직원의 도움을 받을 수 있다.

◆보안업체들 전용 백신 내놔

보안업체들도 같은 분석을 내놨다. 안철수연구소는 작년 분석 당시 컴퓨터 날짜 기준 2009년 7월 10일 0시 이후에 하드 디스크가 손상되는데, 이때 조건(닷넷 프레임 미설치 상태 등)이 맞지 않아 손상되지 않은 PC이거나 이후에 감염된 PC가 이번 공격의 주체라고 설명했다.

잉카인터넷도 작년 7.7 디도스 공격용에 사용됐던 일부 악성코드가 완벽하게 치료되지 않고 1년간 잠복기를 거친 후 재활동을 한 것으로 파악했다.

잉카인터넷 대응팀은 "추가적 피해 예방을 위해 전용백신과 엔프로텍트 안티 바이러스 프로그램을 최신 버전으로 업데이트해 악성코드 감염여부를 점검하는 노력이 필요하다"고 강조했다.

이스트소프트(대표 김장중)도 이번 공격이 작년과 동일한 디도스 악성코드로 인한 재공격이었다고 밝혔다. 일부 좀비PC들이 치료되지 않고 살아남아 이번 공격은 그 공격트래픽이 약 1Mbps 정도로 작년 10G를 상회했던 공격 트래픽과 비교해 그 규모는 매우 적었다는 것.

또한 7.7 디도스 악성코드에서 시스템 날짜를 무조건 2009년으로 인식하도록 만들어져 시스템 날짜가 2010년이든 2011년이든 2009년으로 인식해 공격이 수행됐다고 밝혔다.

이스트소프트 관계자는 "주변에 방치된 공용 PC의 감염여부를 디도스 전용백신 등을 통해 점검할 필요가 있다"며 "작년 7.7 디도스 공격을 발생시킨 악성코드 상에는 정확한 연도와 날짜, 시간이 표기돼 모든 보안업체가 올해에도 동일한 공격이 이뤄질 것을 예상하지 못했지만, 보안업체로서는 반성이 필요한 부분"이라고 설명했다.

◆2, 3차 공격 주의해야

안연구소는 8일과 9일에도 지난해와 같은 공격이 발생할 가능성이 있으므로 각 개인 및 기업의 PC 사용자는 백신으로 진단·치료해야 한다고 밝혔다.

안연구소는 8일 01시경부터 디도스 공격을 유발하는 악성코드의 전용백신(www.ahnlab.com)을 개발, 개인은 물론 기업·기관에도 무료 제공 중이다. 이 전용백신은 지난해에 발견된 파일 11개 중 변형된 파일(wmiconf.dl)에 대한 진단·치료 기능이 추가된 것.

전용백신 외에도 개인용 무료백신 'V3 라이트'(http://www.V3Lite.com)를 비롯해 유료 보안 서비스인 'V3 365 클리닉'(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 인터넷 시큐리티 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단·치료할 수 있다.

안철수연구소 조시행 상무는 "사용자의 PC가 디도스 공격에 악용되지 않게 하려면 운영체제의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하며 실시간 검사 기능을 켜둬야 한다"며 "이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다"고 강조했다.

조 상무는 또 "웹사이트를 운영하는 기업·기관에서는 디도스 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다"고 덧붙였다.