사전 예고된 DDoS 공격

▲ 공격으로 서비스 마비된 청와대 홈페이지. 복구 완료 시점은 아직까지 요원하다.‘청와대, 국회, 한나라당, 조선일보, 옥션, 국방부, 외교부, 네이버, 신한은행, 한미연합군사령부 외 2개 사이트 공격 대상에’
 



7일 오전 6시 44분 인터넷침해사고 대응센터에 DDoS 공격 관련 내용이 접수됐다. 총 26개 사이트를 대상으로 이뤄진 DDoS 공격은 사전 표적으로 지정된 사이트만 집중적으로 시도됐다.

 



조사 결과 한국이 12개, 미국 14개 사이트가 대상 목록에 들어간 것으로 파악됐고, 급기야 미국은 한국을 공격 주요 국가로 지목했다. 그 해결 방안은 한국에서 오는 인터넷 접속을 차단하는 것. 미국은 백악관, 국무성, 나스닥 등에서 장애가 발생했다.

 



하지만 한국은 사고 발생 하루가 지나도록 원인은 물론 공격 위치조차 파악하지 못한 것으로 드러나 정부의 무대응이 도마 위에 올랐다.

 



“누가 공격 하고 있는지 파악 못한 상태입니다. 조립시장과 비정상적인 경로로 유통된 PC가 감염되었을 경우 사용자 외에는 감염 여부를 알 수 없습니다” 며, 인터넷 침해사고 대응센터 관계자가 8일 오후 브리핑을 통해 공식적인 입장을 밝혔다.

 



해당 공격에 대한 대응책으로 “업데이트 설치와 감염된 PC일 경우 백신을 이용해 치료하는 것이 급선무다”고 설명했다. 지금 상황에서는 정부가 손쓸 수 있는 대응이 아무것도 없다는 설명이다.

 ◇ 비정상적인 PC가 시도한 공격사고... 납득하기 힘들어 = DDoS 사고가 접수된 이후 정부기관과 민간 사이트에 대한 사이버위협 ‘주의’ 경보가 발령됐다.

 



행정안전부, 국가정보원, 방송통신위원회는 모든 공무원 PC에 해킹 트래픽을 긴급 점검하라는 공문을 내리도록 조치했으며, 대전 통합전산센터에 DDoS 대응 종합상황실을 설치하고 정부부처에 대한 DDoS 공격을 실시간으로 감시․차단하도록 했다.

 



신속한 대응에도 불구하고 청와대는 속수무책으로 마비되고 말았다. 7월 7일 오전에 발생한 해킹 사건으로 하루가 지난 8일 12시까지 접속이 되지 않고 있다. 이 외에도 공격 대상으로 지목된 11개 사이트도 접속에 문제가 발생하거나 서비스가 불가능한 상황인 것으로 전해졌다.

 



금융권은 물론 인터넷 서비스 업체도 포함된 것으로 알려졌으나, 정부는 사고 발생 하루가 지나도록 해당 기관에 대한 정보를 공개하지 않기로 결정을 내렸다. 명단이 공개되었을 경우 접속이 지나치게 몰릴 가능성이 있다는 이유에서다. 사실상 전 국민을 잠재적 공격 가능 상대로 지목한 것.

 



또한, 금융기관 등 중요한 영향을 미치는 기관의 접속 불가로 발생하는 피해에 대해서는 대책 없음을 시인했다. DDoS 공격을 받고 있는 곳에 대한 목록이 공개되지 않아 이를 모르는 시민은 해당 기관을 내방하거나 업무 지연 등 피해를 고스란히 안게 됐다.

 ◇ 1.25 대란, 이후 달라진 것은 DDoS 대응장비 한대 뿐 = 하루가 마다하고 해킹․공격 사건 발생이 발생하고 있다. 지난 2월 회원 1,082명 개인정보가 유출된 옥션 해킹 사고, 지난해 7월 네이버 카페 공격으로 인한 서비스 중단 그리고 가장 큰 피해 사례로 지목되는 지난 2003년 1월 25일 인터넷 대란이 아직까지 기억에 남아있다.

 



하지만 정부는 문제 발생할 당시에만 관련 전문가를 소집하고 대책 마련에 급급해 하는 모습이다. 주요 ISP에 발생한 과부하로 무려 9시간 동안 대한민국 전역이 인터넷 마비라는 초유의 사건을 경험했음에도 이후 달라진 것은 대전 통합전산센터에 마련된 DDoS 관련 장비 1대 뿐이라는 것.

 



“DDoS 침해를 막기 위한 장비는 대전 통합전산센터에 1대가 있는 것으로 알고 있습니다. 청와대에도 없는 것으로 파악됩니다” 인터넷 침해사고 대응센터 관계자의 설명이다.

 



IT코리아를 외치던 정부는 IT 기술 전반을 관장하던 당시 정보통신부 기능을 3개 기관으로 분할 위임 했으며, 이후 IT발전 공백을 우려하는 목소리를 잠재우기 위해 IT특보라는 담당자를 대통령 직속으로 지정하겠다고 밝힌 바 있다. IT에 대한 체계는 새 정부 들어선 이후 후퇴된 것이나 다름없는 상황이다.

 사건일지(7일) ------------------------------------- 



오전 6시 44분 - DDOS 공격 관련 사실 통보 및 이상 유무 확인에 대한 국가사이버안전센터 요청 접수. 동 시간에 1차 경보 발생. 도스 공격에 대한 분석 작업에 착수

 



오전 7시 40분 - 도스 공격 주요 공공기관 사이트 대상으로 동시다발적 공격 이뤄지는 것으로 파악. 이후 8개 주요 ISP 가입자 대상 감염된 PC 파악 작업 돌입. NHN와 민간 사이트 피해 접수, 인터넷정보침해대응센터는 피해 사이트에 대한 로그 자료 입수와 대응책 마련

 



오전 8시 30분 - 온라인 쇼핑몰 옥션에서 공격 로그 입수해 분석 작업. LG데이콤, 청와대에서 공격 로그 입수해 분석. 주요 사이트 공격 로그. 분석에 들어가.

 



오전 9시 전후- 침해사고 대응팀 4개 50명 전원비상체계. 방통위 대응팀과 함께 비상 돌입.

 



밤 10시 - ISP 전체 모니터링 강화 요청. 해당 담당자 비상 대기 요청.

 



이후 지금까지 공격되고 있는 것으로 보고됨. 침해사고대응팀 담당자는 초기 1만 8,000대 정도가 DDoS 공격에 활용되고 있다고 밝혔으며, 시간이 지남에 따라 이 숫자는 점차 늘어날 것으로 전망.

 



-----------------------------------------------------

 ◇ 사이버 공격 한 달 전부터 심상치 않아= 또한, 관련 기관은 DDoS 공격에 대한 이상유무가 접수된 이후에야 해당 내용을 파악한 것으로 알려졌다. 이에 대한 대책으로 “자신의 PC가 이 같은 DDoS 공격의 근원지로 악용되지 않도록 백신 프로그램을 통한 주기적인 악성코드 점검 및 윈도우 최신 보안패치를 할 것”을 당부했다.

 



하지만 공격 한 달 전부터 여러 인터넷 사이트가 주기적으로 공격 대상에 포함 된 것으로 알려졌다. 전남 광주에서 SMS 서비스를 하고 있는 A사는 한 달 전 DDoS 공격으로 서버가 마비되는 사건을 겪었다.

 

서울 인터넷 언론 B사는 DDoS 공격으로 하루 동안 서버가 다운되었으며, 10만건에 해당하는 DB가 삭제됐다. 이 외에도 여러 중소 업체 서버가 DDoS 공격으로 속도가 느려지거나 문제를 겪은 것으로 전해졌다. 한 중소 업체 서버 담당자는 “DDoS 공격이 간헐적으로 탐지돼. 최근 한 달 세 각별히 신경쓰고 있다”고 말했다.

 



이번에 발생된 공격도 앞서 진행되었던 중소 업체 공격 이후에 발생된 유사한 DDoS 공격으로 정부와 대형 민간 업체를 타깃으로 시도된 것이 큰 차이다. 인터넷 침해사고 대응센터 관계자는 “DDoS 공격은 좀비 PC와 서버 연결 고리를 차단하면 공격이 멈춘다. 하지만 이번 공격은 원격으로 조절하는 CNC 서버를 찾지 못했다. 과거 방식은 아니다”며, 변종 공격일 가능성이 높다고 설명했다.

 



한편 방송통신위원회는 ISP 및 피해 사이트에서 악성코드에 감염된 컴퓨터의 IP를 탐지하여 이를 차단하는 대응조치를 취하고 있으나, DDoS 공격의 특성상 피해 확산의 우려가 있으므로 24시간 종합상황실을 운영하는 한편 ISP, 백신업체 등과 긴밀한 공동대응체제를 구축, 유사 시 상황에 대비하고 있다고 밝혔다.

 



기술적인 지원 또는 도움이 필요한 인터넷 사용자들은 KISA에서 운영하는 보호나라 홈페이지(http://www.boho.or.kr)를 방문하거나, KISA 인터넷침해사고대응지원센터에 전화(국번없이 118)하여 전문 상담직원의 도움을 받을 수 있다.


:::분산 서비스 거부 공격 [分散-拒否攻擊, distributed denial of service, DDOS]

네트워크로 연결되어 있는 많은 수의 호스트들의 패킷을 범람시킬 수 있는 DOS(denial of service) 공격용 프로그램을 분산 설치하여 이들이 서로 통합된 형태로 공격 대상 시스템에 대해 성능 저하 및 시스템 마비를 일으키는 기법. DOS 공격은 공격할 시스템의 하드웨어나 소프트웨어 등을 무력하게 만들어, 시스템이 정상적인 수행을 하는 데 문제를 일으키는 모든 행위를 의미한다. 매우 다양한 공격이 가능하고, 즉시 주목할 만한 결과를 얻을 수 있으며, 공격 방법으로는 smurf, trinoo, SYN Flooding 등이 있다.