원인도 진원지도 깜깜… 허약한 ‘인터넷 강국’ /2009년 7월 9일자 경향신문
임현주기자 korearu@kyunghyang.com
ㆍ미국 “한국發에 문제”… 먼저 차단2003년 ‘대란’ 겪고도 대응체계 부실
분산서비스거부(디도스·DDoS) 공격으로 인한 주요 기관 사이트의 접속장애는 8일 저녁까지도 곳곳에서 이어졌다. 청와대, 한나라당, 국방부 등의 사이트는 지역에 따라 접속이 안되는 현상이 지속됐고, 농협 사이트는 인터넷뱅킹이 어려울 만큼 속도가 느려졌다.
이처럼 공격이 계속됐지만 정부는 속수무책이었다. 누가, 어디서 공격하는지도 알아내지 못했고 공격의 종류도 새로운 것이었다. 이 때문에 대응책 마련도 어려웠다.
이번 디도스 공격은 한국과 미국에서 발생했다. 미국의 일부 사이트는 한국에서 들어오는 트래픽에 문제가 있다며 한국 IP의 접속을 차단했다. 하지만 정확한 발생지는 확인되지 않았다. 정보보호진흥원(KISA) 인터넷침해사고대응지원센터 이명수 센터장은 8일 “현재 디도스 발생지가 미국인지, 중국인지, 한국인지 확인이 안된다”고 밝혔다.
해커들의 목적도 오리무중이다. 보통 디도스 공격을 하는 해커들은 금품을 목적으로 하기 때문에, 해당 사이트 관리자에게 협박을 하는 경우가 대부분이다. 이들 해커의 검거도 대부분 협박과정에서 이뤄진다. 그러나 이번에는 금품요구나 협박이 없어 목적을 알아낼 길이 없다. 공격 종류도 새롭다. 방송통신위원회 황철증 네트워크정책국장은 “디도스는 보통 ‘좀비 PC’(공격을 수행하는 악성코드 감염 PC) 집단에 공격을 명령하는 C&C(공격명령을 내리는 메인서버)가 있는데, 이번에는 C&C 명령 없이 디도스를 발생하는 새로운 유형”이라고 말했다.
이번 공격의 유형은 “국내 해커들도 충분히 할 수 있는 수준”이라는 게 전문가들의 얘기다. 해커가 악성 봇(Bot)을 제작해 홈페이지 등 다양한 방법으로 봇을 배포하면, 악성코드가 은닉된 홈페이지에 방문한 이용자의 PC는 봇에 감염된다. 봇에 감염된 PC로 디도스 공격 명령이 내려지면 악성코드에 감염된 ‘좀비 PC’는 특정 사이트를 공격하게 된다. 이런 ‘좀비 PC’는 어제 저녁 1만8000대에서 이날 오후 2만3000대로 늘어났다.
해결책은 ‘좀비 PC’를 찾아서 네트워크를 차단하고, 백신을 공급해야 하지만 과정이 복잡하다. 방통위 관계자는 “정부가 PC의 IP 주소를 직접 가지고 있지 않고, 개인 PC 이용자들은 아직도 유동 IP를 쓰는 경우가 많아 치료가 쉽지 않다”고 말했다.
사태확산에는 정부의 ‘늑장대응’도 한몫했다. 방통위에 따르면 디도스 공격이 처음 알려진 것은 지난 7일 오후 6시45분쯤이었다. 이어 이날 오후 7시40분부터 국내 주요 기관 사이트에 디도스 공격이 동시다발적으로 퍼졌다. 방통위는 오후 8시쯤 디도스 관련 신고를 접수받았지만 ‘주의’ 경보는 자정이 넘은 뒤 내렸다.
정부는 2003년 1월25일 악성 트래픽으로 인해 인터넷 업체 과부하가 발생하면서 9시간 동안 전국의 인터넷망이 마비된 ‘인터넷 대란’을 경험하고도 현재까지 디도스 장비 하나 제대로 갖추지 못하고 있는 상태다.
<임현주기자 korearu@kyunghyang.com>
분산서비스거부(디도스·DDoS) 공격으로 인한 주요 기관 사이트의 접속장애는 8일 저녁까지도 곳곳에서 이어졌다. 청와대, 한나라당, 국방부 등의 사이트는 지역에 따라 접속이 안되는 현상이 지속됐고, 농협 사이트는 인터넷뱅킹이 어려울 만큼 속도가 느려졌다.
이처럼 공격이 계속됐지만 정부는 속수무책이었다. 누가, 어디서 공격하는지도 알아내지 못했고 공격의 종류도 새로운 것이었다. 이 때문에 대응책 마련도 어려웠다.
경찰 수사 착수 정석화 경찰청 사이버테러대응센터 수사팀장이 8일 청와대 등 국내외 주요기관 웹사이트에 장애를 일으킨 분산서비스거부(DDoS) 공격의 특징에 대해 설명하고 있다. |정지윤기자
이번 디도스 공격은 한국과 미국에서 발생했다. 미국의 일부 사이트는 한국에서 들어오는 트래픽에 문제가 있다며 한국 IP의 접속을 차단했다. 하지만 정확한 발생지는 확인되지 않았다. 정보보호진흥원(KISA) 인터넷침해사고대응지원센터 이명수 센터장은 8일 “현재 디도스 발생지가 미국인지, 중국인지, 한국인지 확인이 안된다”고 밝혔다.
해커들의 목적도 오리무중이다. 보통 디도스 공격을 하는 해커들은 금품을 목적으로 하기 때문에, 해당 사이트 관리자에게 협박을 하는 경우가 대부분이다. 이들 해커의 검거도 대부분 협박과정에서 이뤄진다. 그러나 이번에는 금품요구나 협박이 없어 목적을 알아낼 길이 없다. 공격 종류도 새롭다. 방송통신위원회 황철증 네트워크정책국장은 “디도스는 보통 ‘좀비 PC’(공격을 수행하는 악성코드 감염 PC) 집단에 공격을 명령하는 C&C(공격명령을 내리는 메인서버)가 있는데, 이번에는 C&C 명령 없이 디도스를 발생하는 새로운 유형”이라고 말했다.
이번 공격의 유형은 “국내 해커들도 충분히 할 수 있는 수준”이라는 게 전문가들의 얘기다. 해커가 악성 봇(Bot)을 제작해 홈페이지 등 다양한 방법으로 봇을 배포하면, 악성코드가 은닉된 홈페이지에 방문한 이용자의 PC는 봇에 감염된다. 봇에 감염된 PC로 디도스 공격 명령이 내려지면 악성코드에 감염된 ‘좀비 PC’는 특정 사이트를 공격하게 된다. 이런 ‘좀비 PC’는 어제 저녁 1만8000대에서 이날 오후 2만3000대로 늘어났다.
해결책은 ‘좀비 PC’를 찾아서 네트워크를 차단하고, 백신을 공급해야 하지만 과정이 복잡하다. 방통위 관계자는 “정부가 PC의 IP 주소를 직접 가지고 있지 않고, 개인 PC 이용자들은 아직도 유동 IP를 쓰는 경우가 많아 치료가 쉽지 않다”고 말했다.
사태확산에는 정부의 ‘늑장대응’도 한몫했다. 방통위에 따르면 디도스 공격이 처음 알려진 것은 지난 7일 오후 6시45분쯤이었다. 이어 이날 오후 7시40분부터 국내 주요 기관 사이트에 디도스 공격이 동시다발적으로 퍼졌다. 방통위는 오후 8시쯤 디도스 관련 신고를 접수받았지만 ‘주의’ 경보는 자정이 넘은 뒤 내렸다.
정부는 2003년 1월25일 악성 트래픽으로 인해 인터넷 업체 과부하가 발생하면서 9시간 동안 전국의 인터넷망이 마비된 ‘인터넷 대란’을 경험하고도 현재까지 디도스 장비 하나 제대로 갖추지 못하고 있는 상태다.
<임현주기자 korearu@kyunghyang.com>
'기사 > 경제' 카테고리의 다른 글
| DDoS 7개은행 피해... (0) | 2009.07.09 |
|---|---|
| 안철수연구소 CEO (0) | 2009.07.09 |
| “좀비PC 그룹 여러개… 시간차 공격” (0) | 2009.07.09 |
| “이동전화 25년史 함께 한 내 번호, 뿌듯해요 (1) | 2009.06.09 |
| ㆍ‘인터넷 실명제’ 거부한 구글코리아 이원진 대표 (0) | 2009.04.19 |