지난 10·26 서울시장 재·보궐 선거 당시 박원순 후보와 선거관리위원회의 홈페이지가 다운된 사건이 ‘디도스’ 공격에 의한 것임이 밝혀져 큰 충격을 주고 있다. 더구나 그 범인이 한나라당 국회의원의 보좌진인 것으로 드러나 전 국민들은 충격에 빠져있다. 그러나 이와 별개로 온갖 미디어에서 ‘디도스’ 공격에 대해 이야기 하다 보니 국민적 관심은 오히려 “도대체 디도스 공격이란 무엇인가”에 집중되고 있다.

한나라당 최구식 의원의 비서 공모(27)씨 등 4명은 지난 3일 10·26 재·보궐 선거 당일 중앙선거관리위원회 홈페이지를 ‘디도스(DDoS)’ 공격으로 마비시킨 혐의로 구속됐다. 공범 3명은 선관위와 박원순 당시 서울시장 후보의 홈페이지를 공격했다고 시인했다. 이일로 말미암아 정치권은 혼돈 속으로 빠져들고 있다.

이들이 했다는 디도스 공격은 최근까지만 해도 정부에 의해 ‘북한의 전매특허’처럼 여겨져 왔다. 최근 발생한 일련의 해킹사태에서 정부는 틈날 때마다 ‘북한소행’임을 자신해 왔기 때문이다. 때문에 이번 사건을 두고 일부 네티즌들은 “북한 간첩들이 한나라당 내부에 많이 침투해 있는 모양”이라며 비꼬고 있다.

◇ 디도스, 좀비PC를 만들어 공격

‘도스(DoS)’ 공격이란 ‘시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격’으로 우리말로는 ‘서비스거부공격’이다. 일반적으로 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 연결을 바닥내는 등의 공격이 이 범위에 포함된다.

이러한 공격은 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해 또는 중단시키기 위해 시도된다.

‘디도스(DDoS)’는 DoS공격을 한층 발전시킨 형태로 여러 대의 공격자를 분산적으로 배치해 동시에 서비스 거부 공격을 하는 방법으로 ‘분산 서비스거부공격’이라 부른다.

도스공격과 디도스 공격의 차이는 한명의 공격자가 하나의 시스템을 이용하는지, 혹은 여러개의 시스템을 이용해 공격하는지 여부에 따라 달라진다. 대게 ‘악성코드’유포를 통해 다른 PC를 ‘좀비PC’로 만들어 원격으로 조작하는 방식을 선택한다.

그러나 일반인의 시각에서 디도스 공격에 대한 이러한 설명은 매우 어렵게 느껴질 수 있다. 때문에 보다 쉽게 설명하자면 악의적 목적을 가지고 과일상점(웹사이트)을 방문한 손님(해커)의 예를 들 수 있다.

그는 고의적으로 과일상점의 일을 방해하고자 이것저것 집어 들고 쉴새없이 주인(서버)에게 값을 묻거나 흥정을 한다. 실제로 사든 안사든 중요한 문제는 아니다. 주인을 계속 바쁘게 하는 것이 핵심이다. 이러한 방해 행위가 계속되면 다른 손님들은 결국 아무것도 사지 못하고 상점(웹사이트)을 떠나게 된다.

그러나 만약 상점이 매우 크거나 손님을 상대하는 종업원이 많을 경우 이러한 시도는 큰 영향을 주지 못할 수도 있다. 이럴 때 해커는 ‘디도스’를 선택하게 된다. 즉, 자신과 같은 역할을 수행하거나 혹은 자신의 명령을 수행하는 다른 손님들(좀비PC)를 내세워 상점을 공격하는 것이다.

◇ 디도스, 좀비PC 확보가 관건

도스 공격 자체는 아무 웹페이지나 접속해 ‘새로고침’만 계속 눌러주는 방식으로도 가능할 정도로 매우 간단해 누구나 할 수 있다. 그러나 일반적으로 상업용, 혹은 정부부처의 웹사이트들은 대게 매우 큰 서버용량과 회선용량을 가지고 있어 이런 방식으로는 간지럽지도 못한 공격이 된다. 때문에 공격의 핵심은 얼마나 많은 PC를 ‘마음대로 조작이 가능한’ 좀비PC로 만드느냐가 관건이다.

해커들은 대개 좀비PC를 확보하기 위해 ‘악성코드’를 이용한다. 포르노, 혹은 불법복제 소프트웨어 등을미끼로 사용자들을 유인해 그들의 시스템에 악성코드를 심어 필요시 좀비PC로 활용할 수 있게 한다.

이러한 ‘악성코드’는 사용자들을 가짜(피싱) 웹사이트로 유인해 정보를 빼내거나 사용자의 PC 사용정보를 훤하게 들여다볼 수 있게 하는 ‘트로이목마’ 를 몰레 PC에 심기위해서도 사용된다.

그 중 가장 대표적인 쓰임새가 바로 디도스 공격을 위해 원격조작 프로그램을 몰래 심어놓아 사용자의 PC를 ‘봇넷(Botnet, 좀비PC·봇의 집합체)’의 일원이 되게 하는 것이다. 사용자의 PC가 일단 봇넷의 일원이 되면 해커는 그 PC를 이용해 언제든 다른 시스템을 공격할 수 있게 된다.

디도스는 일반적으로 2가지 방식으로 이루어진다. 첫번째 방식은 처음부터 ‘공격대상’과 ‘공격시간’이 정해진 악성프로그램을 배포 하는 방식이다. 애초부터 공격대상과 시간이 정해져 있기 때문에 대부분 1회성공격에 주로 이용된다. 이는 재활용이 힘들지만 제작자를 추적 해내는 것은 더욱 어렵다.

둘째는 해커와 ‘봇넷’ 사이에 명령을 내리는 C&C(Command And Control) 서버를 두는 방식으로 이는 해커가 자신의 위치를 노출시키지 않고도 수많은 좀비PC에 손쉽게 명령을 할당 할 수 있는 편리함이 있다. 또한 사용자들의 PC를 지속적으로 좀비PC로 활용하기 쉽다는 장점도 있다. 때문에 최근에는 봇넷을 사용한 디도스 공격이 보다 일반화 되어있다.

◇ ‘봇넷’, 특별한 해결책 없다
이러한 악성코드와 봇넷으로 인한 좀비PC 문제는 어제오늘 일이 아니다. 그러나 최근들어 더욱 사이버범죄가 증가하는 추세에 있고 심지어는 국가간에도 사이버전을 대비해야 한다는 목소리가 높다.

이란과 중국을 공격한 것으로 알려진 ‘스턱스넷(Stuxnet)’이 가장 대표적인 예로 꼽힌다. 스턱스넷은 일반PC에 대한 피해만이 아닌 산업용 컴퓨터까지 피해를 입혀 전 세계적으로 유명세를 탔다. 최근에는 이와 비슷하지만 좀 더 강력해진 ‘듀큐(Duqu)’가 활동중이다.

지난달에는 400만대 이상의 PC로 형성된 거대 봇넷이 FBI와 에스토니아 경찰의 수사에 의해 폐쇄되었다. FBI는 ‘Operation Ghost Click’이라고 부른 이 작전에서 뉴욕과 시카고의 데이터센터에 대해 강제수사를 실시해 100대 이상의 C&C 서버로 형성된 봇넷 인프라를 폐쇄했다.

그러나 루멘소프트의 최근 발표에 따르면, 국내 PC 1,113대 중 17대가 악성코드나 봇넷에 감염돼 활동 중이며 일부 PC는 안티 바이러스 백신이 작동 중인 상태에서도 감염돼 악성 행위를 하는 것으로 확인됐다.

루멘소프트는 “공격자와의 통신을 통해 수시로 변종이 발생하는 봇의 특성상, 알려진 바이러스 패턴(시그니처) 기반으로 탐지하는 안티 바이러스 백신이나 방화벽 만으로는 봇과 관련된 모든 보안 위협을 막아내는데 충분하지 않다”고 설명했다. 하지만 더 큰 문제는 봇넷의 공격을 막을 딱히 뾰족한 수가 없다는 것이다.

[ⓒ 토요경제. 무단전재-재배포 금지]