“악성 스크립트 이용해 접속만 해도 감염 새 유형” 분석

지난 25일 청와대를 비롯한 국가 기관, 언론사 등을 대상으로 자행된 사이버 공격에 관한 정보가 별도 서버에 백업된 로그(Log) 파일에 모두 기록돼 있는 것으로 파악됐다.

또 이번 공격이 악성 스크립트를 이용한 신유형 해킹이라는 분석도 나왔다. 전문가들은 보안투자법안 등 민관 합동의 신속한 대책 마련을 주문했다.

26일 미래창조과학부 등에 따르면 전날 청와대 등에 사이버 공격을 했던 해커들은 홈페이지를 해킹한 뒤 서버 접속 및 작업 내역이 기록되는 로그 파일도 조작한 것으로 알려졌다. 이는 자신이 침입한 경로와 작업 내역 등을 지우기 위해 해커들이 흔히 쓰는 수법이다.

하지만 청와대 등 주요 기관은 로그 조작에 대비해 실시간으로 이를 별도 서버에 백업하는데 이번 공격 기록도 별도 서버에 있는 로그 파일에 남아 있는 것으로 전해졌다. 미래부는 이를 분석하면 이번 공격의 주체가 누구인지, 침투 경로는 무엇인지 파악할 수 있을 것으로 보고 있다. 미래부 관계자는 “여러 기관 자료를 비교해 침입 경로, 발생 경위 등을 중점적으로 분석하고 있다”며 “이번 공격에 방어하는 백신을 오늘 새벽 적용한 이후 추가 공격이나 피해는 없다”고 전했다.

특히 이번 공격에는 해커가 악성 스크립트를 설치해 놓은 웹사이트에 방문하면 미리 설정된 특정 사이트로 공격 트래픽을 발생시키는 새로운 유형의 해킹 방식이 사용됐다. 보안업체 안랩에 따르면 해커들은 악성 스크립트 방식과 기존의 좀비 컴퓨터를 이용한 디도스(DDoS·분산 서비스 거부) 공격을 함께 사용했다. 또 보안업체 잉카인터넷은 이번 공격에 극우 성향 인터넷 커뮤니티 일간베스트가 이용됐다는 분석도 내놨다. 미래부 관계자는 “확인되지는 않았으나 기술적으로 가능한 얘기”라고 가능성을 내비쳤다.

전문가들은 반복되는 사이버 테러를 막기 위해서는 다방면의 보안 수준을 높이는 게 중요하다고 지적한다. 조규곤 파수닷컴 대표는 “3·20 테러나 이번 사태에서도 보듯이 보안은 한쪽이 완벽해도 다른 쪽이 문제를 일으키면 소용이 없다”며 “공공기관뿐 아니라 민간이 함께 보안 투자를 늘려야 한다”며 “사고 후 일시적으로 투자하는 것이 아닌 지속적인 투자가 가능하도록 법안 제정 등이 필요하다”고 조언했다.

한편 안랩은 일반 사용자들을 위한 ‘좀비PC 예방 십계명’을 내놨다. 사용자 수가 적은 웹사이트 접속을 자제할 것, 소셜네트워크서비스(SNS) 사용 시 모르는 사람의 페이지에서 단축 경로를 클릭하지 말 것, 신뢰할 수 없는 프로그램에 대한 경고가 나오면 ‘예’ ‘아니요’ 어느 것도 선택하지 말 것 등이다.

강병철 기자 bckang@seoul.co.kr