‘3·4 디도스’ 의문점

4일 오전 10시부터 국내에서 발생된 디도스 공격으로 국내 웹사이트 40개가 공격을 받은 것으로 확인된 가운데, 이번 디도스 공격에 대한 세 가지 의문점들을 살펴봤다.

●왜 자꾸 반복되나

디도스 공격이 반복되는 것에 대해 당국은 특정 세력의 지속적인 공격일 수 있다는 점에 무게를 두고 있다.

우선 이번 디도스 공격이 2009년 7월 7일 발생한 ‘7·7대란’과 유사하다는 점을 들 수 있다. 당시 2곳의 파일 공유 사이트에 악성코드를 심어 국내 21개, 미국 14개 웹사이트를 겨냥해 디도스 공격이 가해졌다. 이번에도 마찬가지 방식으로 서울과 부산의 사이트 1곳씩에 악성코드를 심어 국내 사이트를 공격하고 있다. 특히 경찰은 이번 공격 또한 지난번과 마찬가지로 북한의 소행일 가능성에 대해 예의 주시하고 있다. 7·7대란 당시에도 공격 근원지가 북한 체신성이 중국에서 사용하는 IP(인터넷주소)인 사실을 밝혀 냈다. 특히 이번 공격에는 지난번 공격에 빠져 있던 ‘디시인사이드’가 포함됐다. 디시인사이드의 ‘연평도 북괴 도발 갤러리’(연북갤) 이용자들은 북한의 대남선전 웹사이트 ‘우리민족끼리’를 해킹해 김정일과 김정은에 대한 비난의 글을 올렸었다.

●왜 유독 한국만 당하나

그렇다면 왜 유독 한국이 디도스 공격에 취약한 것일까? 미국이나 유럽과 달리 마이크로소프트의 ‘액티브X’에 지나치게 의존하는 웹 환경이 가장 큰 이유라고 보안 전문가들은 입을 모은다.

디도스 공격을 하려면 목표 대상 주변에서 최대한 많은 수의 좀비PC를 확보하는 게 필요한데, 이를 위해서는 사용자의 PC에 악성코드를 심어야 한다. 이때 액티브X 기술을 악용, 업데이트 프로그램으로 위장해 악성코드를 투입하면 사용자는 무심코 ‘설치 동의’ 버튼을 눌러 자신의 PC에 자연스레 내려받게 된다.

안철수연구소의 한 관계자는 “국내 웹사이트 환경은 악성코드를 유포시켜 좀비PC를 만드는 데 최적의 조건을 갖췄다.”고 설명했다. 때문에 디도스 공격이 이슈가 될 때마다 액티브X 중심으로 웹사이트가 개발되고 있는 지금의 인터넷 환경을 근본적으로 개선해야 한다는 목소리가 높지만 현실은 크게 바뀌지 않고 있다.

●지난번 공격 때와 다른 점은

이번 디도스 공격 역시 7·7대란 당시와 마찬가지로 대규모로 주도면밀하게 이뤄졌지만, 특별한 피해를 입지 않았다는 게 달라진 점이다. 2년 전 경험을 노하우 삼아 철저히 준비해 내성을 갖췄기 때문이라는 게 당국의 설명이다. 여기에 국가정보원과 방송통신위원회, 한국인터넷진흥원(KISA) 등이 안철수연구소 등과 긴밀하게 대응한 덕분에 신속하게 대처할 수 있었다.

지난해 6월 국회입법조사처가 국회 디지털포럼과 공동으로 중앙부처 및 정부 산하기관을 대상으로 디도스 공격에 대한 방어 태세를 점검해 취약점을 발표하는 등 사전 대응 훈련도 충실히 해 왔다.

류지영기자 superryu@seoul.co.kr