이번 디도스 공격은 ▲‘시점’과 ‘목표’를 예고했다는 점 ▲‘복수’의 목표가 ‘반복’ 공격됐다는 점 ▲악성코드에 감염된 PC가 ‘자폭’하도록 명령됐다는 점 ▲공격하는 트래픽 양을 적절하게 유지해 (공격을 받는 쪽에서) 유해 트래픽인지 판단하기 어렵게 만들었다는 점 등에서 기존 디도스 공격과는 차원이 달랐다.
안철수연구소 조시행 연구소장은 10일 “방법상 매우 특이한 공격이었다”면서 “국내 정보망 생태계도 잘 알고 기술적으로 잘 컨트롤하고 있는 전문가로 짐작된다”고 밝혔다. 조 소장에 따르면, 통상 디도스 공격은 좀비P C의 시스템에 최대한 부하를 주게 되며, 목표물에 가해지는 트래픽이 초당 1000∼2000회 정도, 적어도 수백회에 달한다.
하지만 이번 공격에 가담한 PC를 분석한 결과 좀비 PC에게 걸린 부하가 매우 적어서 사용자가 알아채기 힘들 정도였다는 게 그의 설명이다. 아울러 목표물 사이트에는 초당 33회 정도의 트래픽을 일으켰다. 조 소장은 “피해 사이트 측에서 정상적인 접속인지 유해 트래픽인지 판단히기 힘든 ‘아주 적당한’ 수준의 공격”이라고 말했다.
국제 해커대회 ‘코드게이트 2009’ 결선에서 우승한 조주봉씨도 “트래픽을 적절히 유지하면서 사이트를 공격하는 것으로 볼 때 오랜 기간 생각을 많이 한 조직이거나 소수의 천재가 아닐까 추측된다”고 말했다. 2, 3차 공격에 접어들면서 백신이 많이 깔려 감염 PC가 줄어들자 거기 맞춰 공격 사이트도 줄여 사이트당 트래픽 수준을 일정하게 유지했다는 것이다. 조씨는 “공격 과정을 지속적으로 모니터링하며 명령을 내리는 것 같다”고 말했다.
아울러 기존 디도스 공격은 금전 등의 요구를 내걸고 한 사이트를 집중 공략했다면, 이번 공격은 아무런 단서도 없이 특정 사이트들이 동시다발로 반복해서 공격당했다. 공격 중간에 목표물이 변경된 것도 이례적이다. 특히 공격에 활용한 좀비 PC를 ‘자폭’하도록 명령한 점은 이번 공격이 오랜 기간에 걸쳐 준비된 것 같다는 분석에 무게를 더하고 있다. 조 소장은 “장난 삼아 감염된 PC의 하드디스크를 포맷하는 경우는 봤지만, 사회 이슈가 될 정도의 공격에서 좀비 PC를 파괴하는 것은 처음 본다”고 말했다.
조현일 기자
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]
![[설왕설래] ‘트바로티’의 추락](http://img.segye.com/content/image/2024/05/16/128/20240516520168.jpg
)
![[기자가만난세상] 돌변한 그때 그 사람들](http://img.segye.com/content/image/2020/01/10/128/20200110512256.jpg
)
![[세계와우리] 디지털 연결성 보호 위한 해저협력](http://img.segye.com/content/image/2024/04/11/128/20240411533676.jpg
)
![[조경란의얇은소설] 제 말 좀 들어주세요](http://img.segye.com/content/image/2021/10/29/128/20211029514141.jpg
)
