“이번 3·3 분산서비스거부(DDoS) 공격을 감행한 해커는 국내 PC 사용자들의 패턴을 정확히 알고 P2P사이트를 악성코드 유포처로 이용했습니다. 스마트폰 사용자가 늘어나고 있는 최근 추세를 감안할 때 다음 공격의 경로는 스마트폰일 가능성이 높습니다.”
DDoS 공격 계획을 가장 빨리 파악해 좀비PC 치료 백신 개발을 긴급하게 지휘한 박태환 안철수연구소 시큐리티대응센터(ASEC) 대응팀장은 지난 5일 동안 숨 가쁜 상황을 회상하며 다음 번 DDoS 악성코드 감염 대상으로 스마트폰을 지목했다. 즉 좀비 스마트폰이 등장할 수 있다는 것이다.
지난 3일 오후 3시쯤 박 팀장은 은행권 인터넷뱅킹서비스에 이상이 있다는 몇몇 고객들의 신고를 받았다. 문제를 점검하던 중 발견한 악성코드가 V3와 알약의 IP 호스트파일을 변조해 업데이트를 방해했다는 사실을 알아냈다. 또 문제가 생긴 고객들의 PC에 공통적으로 ‘쉐어박스’란 P2P 사이트의 에이전트가 깔려있었다는 사실에 P2P 사이트를 통해 DDoS 공격이 감행될 것이란 불길한 생각이 머리를 스쳤다.
이때부터 그는 해커와 두뇌 전쟁을 벌이기 시작했다. 박태환 팀장은 일단 쉐어박스에서 샘플 코드를 채취했다. 이후 악성코드를 6시간 이상 분석한 끝에 좀비 PC 대응 백신을 긴급하게 개발했다.
박 팀장은 “지난 7·7 DDoS 대란 때도 대응 업무를 담당했지만 당시에는 악성코드를 보면 바로 공격사이트 리스트와 공격 시간을 알 수 있었는데 이번에는 악성 코드가 난독화돼 있어서 분석하는데 상당히 애를 먹었다”며 “6시간 이상 분석해서 겨우 공격 날짜와 시간을 알아냈다”고 말했다. 하지만 상황은 거기서 끝난 것이 아니었다. 해커가 초기에 세팅해 둔 4일 오후 6시 30분 DDoS 공격 시간을 안철수연구소에서 분석해 백신 엔진 업데이트를 완료하자 이를 눈치 챈 해커가 또 다른 P2P 사이트를 이용해 4일 오전 10시 공격을 더 추가하도록 좀비 PC에 지시를 내렸기 때문이다.
박태환 팀장은 “공격자는 우리 행동을 정확히 모니터링하고 공격의 방향을 계속 바꾸어 나갔다”며 “하지만 공격이 진화하는 만큼 대응 능력 또한 빨라졌기에 큰 사고 없이 사건이 수습될 수 있었다”고 말했다. 박 팀장은 이번 3·3 DDoS가 지난 7·7 DDoS처럼 큰 사고로 번지지 않을 수 있었던 가장 큰 요인으로 경험과 꾸준히 업그레이드한 기술, 시스템을 꼽았다. 무엇보다 지난 7·7 DDoS 공격을 경험한 안철수연구소의 풍부한 노하우가 1등 공신이란 설명이다.
박 팀장은 “이번 해커는 DDoS 공격이 실패하자 곧 바로 좀비 PC의 하드디스크를 파괴하는 자폭 명령을 내리는 등 상식을 벗어나는 행동을 보였다”며 “항상 사고가 일어날 수 있다는 점을 명심하고 개인 PC의 백신 업데이트 및 주기적인 점검, 수상한 P2P 사이트의 무분별한 자료 공유 등은 삼가하는 것이 좋다”고 조언했다.
또 그는 “예방과 점검이 비교적 잘되어 있는 PC보다 보안이 허술한 스마트폰이 다음 DDoS 공격 경로로 활용될 가능성이 높다”며 “스마트폰 사용자들의 보안의식 강화가 절실하다”고 덧붙였다.
장윤정기자 linda@etnews.co.kr
