지능화된 디도스, 7.7 대란과 무엇이 달랐나(상보)

[이데일리 신혜리 기자] 지난 3일부터 시작된 디도스 공격은 여러가지면에서 지난 2009년 7·7 디도스 공격보다 지능화된 것으로 분석됐다.

안철수연구소는 7일 "지난번 디도스 대란은 같은 파일 구성으로 여러 차례 공격을 시도했지만, 이번에는 공격 시점마다 파일 구성이 달라지면서 새로운 파일도 추가돼 분석하고 대응하는 데 시간이 많이 걸렸다"고 전했다.

2009년 7·7 디도스 당시에는 마지막 공격 날인 10일 자정에 하드디스크와 파일이 손상됐으며, PC 날짜를 변경하면 피해를 막을 수 있었다. 하지만 이번에는 공격자가 실시간으로 작전을 변경해 공격 종료 시점이 명확하지 않았다는 것이 큰 차이점이다.

또한 호스트 파일 변조로 백신 업데이트를 방해해 이용자들이 백신 프로그램으로 치료를 하지 못하게 했다. 2009년에는 닷넷 프레임 기반인 윈도 2000, XP, 2003에만 손상이 국한됐지만 이번에는 모든 윈도 운영체제에 손상이 이뤄지도록 했다.

악성코드의 시스템 손상형태도 달랐다.

3.4 디도스공격에서는 악성코드 감염후 일정시간이 지나 손상을 일으키거나 감염 즉시(3월3일 신종 악성코드의 경우) 손상을 일으키기도 했다. 좀비PC 손상도 특정조건 없이 모든 좀비PC를 파괴했다. 하지만 7.7 디도스공격 때는 특정조건이 만족되어야 좀비PC를 손상시켰다고 방통위는 설명했다.

하지만 정부와 인터넷서비스 사업자(ISP)의 대응체계도 과거에 비해 업그레이드 된 분위기다.

좀비PC 치료방법의 경우, 7.7 디도스공격 때는 ISP 콜센터를 통해 사용자에게 통보하고 구두로 치료방안을 안내하는 수준이었다. 하지만 이번 3.4 디도스공격 때는 감염된 PC에 팝업창을 띄어 주는 사이버 치료체계를 구축해 치료방안을 지원했고, 파악되지 않은 좀비PC에 대해서도 통보를 했다.

악성코드 최초 탐지도 7.7 디도스공격 때는 피해기관 신고로 늦었지만, 3.4 디도스공격 때는 유관기관 협력체계로 인지했다. 이에따라 피해규모도 과거와 달리, 이번에는 일시적인 접속장애와 일부 좀비PC 하드디스크 파괴 정도로 그쳤다는게 방통위의 판단이다.

한편, 이번 공격 역시 개인 사용자 PC를 `좀비PC`로 만들어 디도스 공격자가 되도록 하고 외부 서버로부터 명령을 받아 사전 계획대로 공격이 이뤄졌다는 점에서는 유사한 형태를 지녔다.   안철수연구소는 이번 디도스 공격이 공격 목적이 불명확하다는 점, 하드 디스크와 파일 손상으로 악성코드 수명이 끝난다는 점도 지난 공격과 같다고 평가했다. 또, 이번 공격에서도 `P2P` 사이트가 악성코드의 주요 배포지로 활용됐다.

김홍선 안철수연구소 사장은 "보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다"며 "이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다"고 전했다.

▶ 관련기사 ◀
☞[특징주]보안주 강세..`디도스 좀비PC 파괴`
☞안철수硏, 디도스 2차공격 큰 피해 없어..`계속 주의`
☞[특징주]보안株, 디도스 공격에 강세