3·4 디도스 공격 큰 피해 없이 잦아들었지만… 테러 수준 업그레이드

방송통신위원회는 3·4 분산서비스거부(디도스·DDoS) 공격과 관련, 7일 오후 1시 현재 219건의 하드디스크 손상 신고가 접수됐다고 밝혔다. 2009년 7·7 디도스 공격 당시 PC 손상은 모두 1466건이 신고 됐고 이 중 첫날 신고는 396건이었다. 방통위는 이번 디도스 공격에 동원된 좀비 PC를 7만7207대로 추정하고 있다. 7·7 디도스 공격에 동원된 좀비 PC가 11만5000여대인 점을 감안하면 하드디스크 손상 피해가 더 큰 것으로 분석된다.

경찰청 사이버테러대응센터는 좀비 PC에 공격명령을 내린 서버가 해외 35개국 98대인 것을 확인하고 해당 국가에 수사 공조를 요청했다. 경찰 관계자는 “35개국 수사기관에 공격명령 서버 하드디스크를 복제해 보내달라는 공문을 보냈다”며 “서버 숫자는 늘어날 수 있다”고 말했다. 경찰은 서버 하드디스크 복제본이 도착하는 대로 분석 작업을 벌여 해킹 근원지를 추적할 계획이다.

2009년 ‘7·7 디도스 대란’ 때 공격명령 서버는 51개국 442대였다. 당시 경찰은 이들 국가와의 공조수사를 통해 공격 근원지가 중국 내 북한 체신성 IP였음을 밝혀냈다.

이런 가운데 안철수연구소는 3·4 디도스 공격이 7·7대란 때와 유사한 측면이 많지만 한층 업그레이드된 형태였다고 분석했다. 7·7 때는 같은 파일 구성으로 여러 차례 공격이 시도됐지만 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 더 많은 시간이 걸렸다. 일례로 7·7 때는 마지막 디도스 공격 날인 10일 자정에 하드디스크와 파일이 손상됐다. 당시 PC의 날짜를 변경하면 손상을 막을 수 있었다. 하지만 이번 공격에는 날짜를 이전으로 바꾸거나 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드디스크와 파일이 손상되도록 설계됐다. 공격자는 또 중간에 명령을 변경, 파일을 즉시 손상하도록 만들었다. 대응할 때마다 공격자가 실시간으로 작전을 변경한 것이다. 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못하게 하는 기능도 새로 추가됐다.

맹경환 기자 khmaeng@kmib.co.kr