“이번 신종 DDoS 공격은 일단락됐습니다. 게다가 안철수, 하우리, 바이러스체이서, 알약 등 인터넷보안업체들이 신종 DDoS용 무료백신을 보급하고 있어 영향력이 큰 추가 공격은 없을 것으로 예상하고 있습니다.”
 

7·7 분산서비스거부(DDoS) 공격에 맞서 며칠간 ‘사이버전쟁’을 치른 한국정보보호진흥원(KISA)의 인터넷침해사고대응지원센터(KISC) 이명수(52) 본부장은 7월 16일 한숨 돌리는 표정으로 이렇게 말했다.
 

“7월 7일 오후 7시경 DDoS 공격 사실을 확인하고 KISC 전 직원 45명이 비상근무에 돌입했습니다. 악성코드 분석, 대내외 정보 수집과 DDoS를 퍼뜨린 ‘숙주 사이트’로 의심되는 사이트를 차단하느라 며칠 밤을 새우고 밥 먹을 시간도 없을 정도였습니다.”
 

특히 7월 7일부터 10일까지는 DDoS 공격과 하드디스크 손상이 맞물리면서 ‘피 말리는’ 한 주가 됐다고 한다.
 

그는 “그간 가장 우려했던 점은 공격 대상 리스트가 업데이트되어 추가 공격이 벌어질 가능성이었다”고 밝혔다.
 

“이번 악성코드가 어디서 시작해 어떤 경로를 통해 전파됐는지 확인하는 게 가장 어려웠습니다. 지금도 영국 내 서버가 이번 공격의 진원지로 알려졌지만 정확하게 확인되지는 않고 있습니다. 서버에 대한 조사는 현재 경찰과 검찰 등에 의뢰해놓은 상태입니다.”
 

DDoS 공격 이후 가장 큰 고비는 ‘DDoS 공격이 하드디스크 손상으로 이어진 것이 확인된 시점’이었다. 이 본부장은 “다행히 DDoS 공격 후 KISC의 해킹 관련 서비스전화인 118번에 신고된 하드디스크 손상 사례는 처음 우려와 달리 1천4백여 건에 그쳤다”고 말했다.
 

이번 공격이 주요 정부기관, 언론사, 금융권 등과 미국의 정부 사이트 등으로 돼 있고, 공격행위 관련 사이트가 대부분 해외에 위치하는 것으로 파악됐지만 특정 세력과의 관련성은 확인되지 않았다. 이 본부장은 “기존의 DDoS 악성코드들은 게임 사이트나 불법 동영상 사이트 등을 공격 대상으로 해 금전을 요구하는 소규모 공격이 대부분이었다”며 “현재로서는 사회불안 야기 외에 뚜렷한 의도가 파악되지 않고 있는 이번 DDoS 공격은 1차부터 3차까지의 공격 시나리오가 치밀하게 구성돼 있어 사전에 정교하게 계획된 것으로 판단된다”고 말했다.

 

이번 사이버테러에 사용된 악성코드는 기존 악성코드들과는 다르다. 기존 DDoS 공격용 악성코드들은 공격 시작과 종료 등의 명령이 특정 서버로부터 전달돼 감염된 PC들이 동작하는 ‘중앙 통제형’ 악성코드라고 할 수 있다.
 

“그런데 이번 악성코드는 공격 내용이 악성코드 안 설정파일에 기록돼 있어 명령을 내리는 서버 없이 정해진 시나리오대로 공격하는 형태입니다. 예전의 피동적인 DDoS 악성코드가 변태를 거듭해 마치 스스로 공격하는 ‘능동형’ 악성코드로 진화한 것 같습니다.”
 

이번 사건이 ‘정보기술(IT) 선진국’이라는 우리나라의 자존심에 상처를 줬다는 일부의 지적을 어떻게 보고 있을지 궁금했다.
 

“이번 사건은 우리에 대한 도전이라고 생각합니다. 공격에 대한 징후를 해외에서는 인지했지만, 우리에게 전달되기까지 시간이 지체됐습니다. 따라서 앞으로 국가 간 또는 침해사고대응조직 간 정보교류가 더욱 활성화돼야 합니다. 물론 국가 차원의 정보보호체계를 신속한 대응체제로 가다듬는 일도 필요합니다.”

이 본부장은 우리나라가 앞으로 ‘사이버 안전국’이 되기 위해서는 “국가뿐 아니라 기업이나 단체 역시 운영 중인 서버의 보안 강화에 한층 노력하고, 일반 사용자들도 자신의 PC가 해커에게 악용되어 사회적 혼란을 야기할 수도 있음을 인식해 기본적인 보안수칙을 준수하도록 해야 한다”고 충고했다.
 

이 본부장은 특히 사이버 피해 확산에 일조하는 일반 이용자 PC의 보안체계를 강화하는 것이 무엇보다 중요하다고 지적한다. 이를 위해선 백신을 설치해 정기적으로 점검하고 자동보안 업데이트를 통해 항상 최신 보안패치를 유지해야 한다. 또 앞으로도 있을 사이버 공격에 대비해 KISA에서 운영하는 ‘보호나라(boho.or.kr)’를 통해 악성 DDoS 공격을 유도하는 ‘악성 봇’ 감염 여부를 확인해둬야 한다. ‘보호나라’ 상단 메뉴에서 ‘PC점검’을 클릭한 다음 ‘악성 봇 감염 서비스’를 찾아 자신의 PC가 감염됐는지 아닌지를 확인할 수 있다.
 

“이번 사태와 유사한 경우는 언제든지 발생할 수 있습니다. 이에 따라 우리 센터는 국내 주요 사이트에 대한 모니터링을 강화하고 있습니다. 접속불량 혹은 접속이 지연되는 등 이상 징후가 조금이라도 관찰되는 즉시 해당 사이트 담당자와 핫라인을 통해 원인파악에 들어갈 태세를 마련해놓고 있습니다.”
 

아무리 철옹성에 살고 있다 해도 부지불식간에 ‘트로이 목마’처럼 침투하는 악성코드에 빗장이 풀어지면 모든 것을 잃게 된다고 강조하는 이 본부장은 “정부 차원에서 대국민 보안의식 강화를 위한 홍보와 지원정책을 마련할 필요가 있다”고 제안했다.
 

연세대 전자공학과를 졸업한 이 본부장은 KT 정보보호본부 정보보호기술담당 상무, KT텔레캅 연구소장, 기술본부장을 거쳐 지난해 9월부터 KISC 본부장을 맡아오고 있다.
 

글·박경아 기자 / 사진·조영철 기자