KISA, 해커 공격 명령서버 차단 등 긴급조치…현재 정상화

지난달부터 DDoS 서버 공격으로 인해 정상적인 서비스를 제공하지 못했던 아이템 베이 등 주요 게임아이템 거래 웹사이트들의 서버다운 원인이 정체 불명의 ‘DDoS 공격 툴’에 의한 것으로 드러났다.

이러한 사실은 KISA가 피해업체로부터 공격 IP 정보를 받아 해당 PC를 분석하면서 밝혀졌다. 이에 따라 마비 상태였던 해당 웹사이트들은 긴급 조치를 통해 서비스를 정상 제공하기 시작했다.

한국정보보호진흥원(KISA, 원장 황중연)은 15일 오후 언론에 배포한 보도자료에서 “최근 발생하고 있는 게임아이템 거래 사이트의 DDoS 공격에 악용된 PC를 분석한 결과 DDoS 공격 툴을 발견했다”며 “공격 명령을 전달하는 10여개의 해외 및 국내 서버들을 찾아 차단하는 등 공격 진화에 나섰다”고 밝혔다.

자료에 따르면 DDoS 공격에 악용된 국내 PC에서 DDoS 공격툴 2종이 발견되었으며, 아이템거래사이트를 공격한 툴은 국내에 위치한 중계사이트와 해외에 위치한 명령제어 서버를 통해 원격통제 받아 DDoS 공격을 수행한 것으로 확인됐다. 나머지 DDoS 공격 툴도 다른 국내 웹사이트를 통해 전달받은 공격대상 사이트에 대해 DDoS 공격을 수행한 것으로 보인다. 확인된 좀비 PC(악성 코드에 감염된 컴퓨터)의 IP는 중국이지만, 이 또한 공격을 위한 경유지로 활용됐을 가능성이 있어 중국인의 소행이라고 단정할 수는 없는 상태다.

KISA 관계자는 “공격 명령제어 서버 등을 차단함으로써 아이템 거래사이트들이 정상화되고 있지만, 공격자는 명령제어 서버를 바꾸어 가며 재공격을 할 가능성도 있다”고 우려했다. 전문가들은 ISP/IDC 사업자들이 고객 PC에서 대규모로 유입되는 악성 트래픽 및 존재하지 않는 IP 주소로부터의 트래픽을 가입자 네트워크 장비 단에서 차단하는 등의 조치가 필요할 것으로 권고하고 있다.

서버 관리자들은 SQL 인젝션 등 각종 웹 취약점을 제거하고, 웹보안을 강화함으로써 공격명령제어 서버 및 중계사이트로 악용되지 않도록 해야 한다. KISA 는 DDoS 공격이나 협박메일을 받을 경우 인터넷침해사고대응지원센터(http://www.krcert.or.kr, 전화 : 118)로 즉시 신고해 줄 것을 당부했다.

한편 KISA는 PC 보안 포털사이트인 보호나라(http://www.boho.or.kr)를 통해 PC 자동보안업데이트 프로그램 및 무료 바이러스 백신 보급, PC 원격점검 서비스 등을 제공하고 있다.


◆서비스 마비시키는 DDoS 공격이란

DOS 공격은 대량의 접속을 유발해 해당 컴퓨터를 마비시키는 수법이다. 공격할 서버(시스템)의 하드웨어나 소프트웨어 등을 무용지물로 만들어, 시스템이 정상적인 수행을 하는 데 문제를 일으키도록 하는 모든 행위를 의미한다. 특정 컴퓨터에 침투해 자료를 삭제하거나 훔쳐가는 것이 아니라 정상적으로 접근하는 사용자들을 막고, 비정상 사용자들이 서버 자원을 독차지하며 훼방을 놓는 것이다.

분산 서비스 거부 공격(DDoS, distributed denial of service)은 DOS를 한 단계 더 향상시킨 공격 기법이다. 네트워크 패킷을 크게 늘려 서비스를 정상적으로 접근할 수 없게 만드는 ‘DOS(denial of service)’ 공격용 프로그램을 분산 설치한 뒤, 서로 통합된 형태로 공격 대상 시스템에 대해 성능 저하 및 시스템 마비를 유도하게 된다. 직접 시스템에서 특정 정보를 빼낼 수는 없지만, 악의적인 목적으로 시스템을 망치기 위해서는 매우 효과적이다.

KISA는 “해커가 국내 웹사이트에 대해 금품 요구 불응 시, 무작위 DDoS 공격을 통해 서비스를 마비시키는 것은 지난 2006년 하반기부터 본격적으로 시작됐다”며 “갈수록 공격의 빈도 및 대담성이 증가하고 있다”고 경고했다.

DDoS 공격은 피해업체의 대응만으로는 한계가 있으므로, ISP/IDC 등 유관 업체와 KISA 등 전문기관의 신속한 정보공유와 공동대응이 필수적이다.

[인터넷뉴스부 서명덕 기자]