디도스로 '좀비PC' 피해 우려 확산

[강호성기자] 7.7 디도스(DDos) 공격 대란의 상처가 아물기도 전에 또다시 주요 인터넷사이트에 대한 디도스 공격이 발생하면서 이용자들의 '좀비PC화' 피해가 우려되고 있다.

지난 3일과 4일 정부와 공공기관, 주요 포털과 금융 사이트 등이 속수무책으로 공격을 당한 가운데 5일에도 공격 가능성이 큰 것으로 파악되면서 PC 이용자들의 각별한 주의가 필요해지고 있다.

방송통신위원회 황철증 네트워크정책국장은 4일 긴급브리핑을 통해 "디도스 공격에 이용된 이른바 '좀비PC'가 확산되고 있다"며 "타깃이 된 사이트들은 기본적으로 방어시스템이 작동되지만, 문제는 상대적으로 보안이 취약한 일반 사용자들의 PC"라고 말했다.

이날 오후 1시반께 1만1천대 규모였던 '좀비PC'는 6시 현재 2만대를 넘어선 것으로 집계됐다.

디도스 공격에 나선 세력의 신원이 밝혀지지 않은 가운데 파일공유 사이트인 '쉐어박스'를 경로로 삼은 것으로 파악됐다. 방송통신위와 컴퓨터침해사고대응센터 측은 쉐어박스 접속을 차단하는 동시에 공격세력에 대한 조사에 들어간 상황이다. 아울러 이날 사이버 위기 '주의' 경보를 발령했다.

◆좀비PC가 좀비PC 양산

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등으로 파악되고 있다. 이들 악성코드가 설치된 PC는 이른바 '좀비 PC'가 돼 주요 웹사이트를 공격했다.

지난 2009년 7월 '디도스 대란' 당시 11만5천대가 디도스의 경로로 활용되며 좀비PC화된 바 있다.

쉐어박스 등 감염경로로 활용된 사이트를 통해 좀비PC화가 되면 재차 다른 PC를 감염시킨다는 점에서 추가적인 피해가 늘어나고 있다.

특히 이번 디도스 공격에 이용된 좀비 PC는 일정 시간이 지난 뒤 PC에 치명적인 손상을 일으킬 수 있는 것으로 파악되고 있다.

방송통신위와 인터넷진흥원이 사용된 악성코드를 정밀 분석한 결과, 감염된 좀비PC가 이날 오후 6시30분과 5일 오전 10시45분에 추가 공격을 시도하고 일정 시간 뒤 스스로 하드디스크를 파괴할 것으로 분석됐다.

방송통신위와 인터넷진흥원에 따르면, 백신 치료를 하지 않은 상태로 악성코드를 보유한 PC는 길게는 7일 이후 하드디스크 데이터 파괴 등의 손상을 입을 것으로 분석됐다. 이번 악성코드는 지난 7·7 공격 당시와 달리 백신 업데이트 방해 기능이 추가된 것으로 알려져 더욱 주의가 필요한 것으로 보인다.

인터넷진흥원 관계자는 "이번 공격이 트래픽은 많지 않지만 서버에 부하를 주는 공격"이라며 이용자들이 P2P 사용을 자제하고 인터넷 사용 중 모르는 프로그램이나 확실하지 않은 프로그램을 다운받지 않아야 한다"고 강조했다.

◆감염확인-백신받기 필수

이용자 PC의 '감염' 여부는 인터넷 접속을 통해 쉽게 확인할 수 있다. 인터넷진흥원과 주요 인터넷서비스제공업체(ISP)들은 인터넷 접속시 자동으로 감염 여부를 확인하는 프로그램을 작동하고 있다. 따라서 이용자가 감염 여부를 체크하지 않아도 자동으로 확인될 수 있도록, PC가 감염된 상태이면 곧바로 안내 팝업창이 뜨고 치료를 진행하는 프로그램이 가동된다.

인터넷진흥원 관계자는 "팝업창이 뜨지 않았다고 해서 안심하지 말고 백신 업데이트를 하는 것이 좋다"며 "또 이번 공격과 관련이 있다고 밝혀진 P2P 사이트 이외의 사이트도 아예 이용하지 않는 편이 좋다"고 조언했다.

감염이 의심되면 보호나라(www.boho.or.kr)나 인터넷침해대응센터(www.krcert.or.kr)에서 전용 백신을 받아 치료할 수도 있다.

지난 이틀간 디도스 공격을 받은 주요 사이트는 총 40개 가량으로 4일 오전 10시 공격을 당한 사이트는 29개에 달한다. 청와대, 외교통상부, 통일부, 국회, 육해공군 사이트 등 정부부처와 공공기관, 금융권, 인터넷쇼핑 등이 망라됐다.

방통위 관계자는 "해커들이 공격 루트를 우회해서 들어오기 때문에 사이버공격 근원지 찾기가 쉽지 않지만 근원지를 찾기 위해 사력을 다하고 있다"며 "지난해 P2P 사이트들의 보안취약점에 대해 통지한 바 있지만, 허점이 개선되지 않았으며, 이번에도 이를 파고든 것으로 파악되고 있다"고 말했다.

강호성 기자의 다른 기사 보기

• 청와대-합참-네이버 등 40여개 사이트에 무차별 디도스 공격

• 3·4 디도스 공격, 진단 및 치료 방법은?