상반기 트로이목마 계열 악성 코드 증가, 국내 전 PC의 좀비화 겨냥

지난 8일부터 시작된 국가적 규모의 해킹 공격에 대한민국의 사이버 주권이 한꺼번에 무너졌다. 청와대·국회·안철수연구소·한국정보보호진흥연구원·신한은행·우리은행·하나은행·대덕연구단지·국정원 등 대한민국의 주요 국가기관, 보안 연구소, 금융회사, 연구단지에 무차별적 사이버 테러가 감행됐다. 이에 따라 대한민국 최고의 보안 및 해킹 방어를 자랑해야 할 곳들의 웹 서버가 일순 마비상태에 빠졌다. 이번 대규모 해킹으로 국가와 기업의 기밀자료나 개인의 신용정보 등의 유출사태가 일어나지 않았던 점은 천만다행이지만, 이는 다만 해커들이 그 같은 시도를 하지 않았기 때문이라는 분석이다. 이번 공격에 대해 청와대와 국가정보원은 북한이나 남한의 친북세력이 국가의 전복 혹은 혼란을 목적으로 시도한 것이라는 추측을 내 놓고 있다. 또 보안업체 일각에서는 냉전시대 미국의 CIA, 이스라엘의 모사드와 함께 세계 첩보세계를 3등분했던 전 소비에트연방공화국 내 KGB 출신들의 작품이라는 이야기도 나오고 있다. 그러나 DDoS 공격을 명령한 컴퓨터의 위치 추적이 아직 끝나지 않았다는 점과 피해 서버에 백악관 등 미국의 주요 기관들도 포함되어 있다는 점에서 범죄인을 특정 짓기는 아직 이르다. 그런데 일각에서는 과연 누가, 어느 세력이 범인인지에 대해 대략적으로라도 밝힐 수 있느냐는 점과 친북세력, 국제 범죄단체 등 범죄 주체를 명확히 파악한 후 그들을 일망타진한 뒤에는 이번과 같은 일이 재발하지 않도록 조치할 수 있느냐는 점에 의문을 제기하고 있다. 문제는 이에 대해 컴퓨터 전문가들이 회의적인 반응을 보이고 있다는 것. 이번 공격은 더 큰 것 노리기 위한 전초전 정부가 북한 혹은 대북세력의 사이버 공격이라고 추정할 정도로 대한민국을 충격과 공포 속에 몰아넣은 이번 공격이 사실은 본격적인 사이버 테러 혹은 해킹을 시도하기 전에 자신의 무기를 점검하기 위한 일종의 시험공격이라는 분석도 있다. 컴퓨터 전문가 A 씨는 “이번 공격은 공격자가 자신이 깔아놓은 좀비 컴퓨터의 성능을 시험하기 위해 날린 일종의 잽에 불과하다”고 주장했다. 보안업체에 따르면, 대한민국 전체를 뒤흔들어놓은 사이버 테러는 DDoS(Distribute Denial of Service) 방식에 의한 해킹 공격이다. DDoS는 여러 대의 컴퓨터가 특정 목표의 서버 시스템에 일시에 접속해서 서버가 처리할 수 있는 능력의 한계 이상의 정보 입출력을 요구하여 결국 시스템을 불능·마비시키는 공격을 의미한다. 이 기법은 정보 유출 및 자료 삭제를 위해 타깃 컴퓨터로 침투하는 수법이 아니라, 해당 컴퓨터가 다른 컴퓨터와 네트워크를 이루지 못하도록 길목을 어지럽히는 것이 목적이다. DDoS 공격은 소수의 해커가 악성 코드를 가지고 시간을 두고 불특정 다수의 컴퓨터를 좀비 컴퓨터로 만든 후 특정 시간에 특정 사이트를 공격하도록 명령을 내리는 방법이 일반적이다. 방송통신위원회는 7일 발생한 DDoS 공격에 활용된 좀비 컴퓨터가 2만2000대를 넘어섰다고 발표하였으며, 10일 오전에는 5만 대를 넘어 최대 8만 대로 추정된다고 밝혔다. 그런데 8일 방송통신위원회가 밝힌 청와대·국정원 등을 공격하는데 동원됐다고 추정되는 좀비 컴퓨터는 주요 기업체의 업무 PC, 개인용 노트북, 가정용 PC, PC방 컴퓨터 등 다양하게 존재하고 있다. 그리고 이들은 방통위 등으로부터 좀비 컴퓨터로 사용됐음을 통보받지 않는 한 자신의 컴퓨터가 이번 범죄에 사용됐다는 것 자체를 인지하지 못하는 실정이다. 7.7 사이버 테러는 예고된 사건 지난 7일에 있었던 사이버 테러 사건은 사실상 직전에 예고된 바 있었던 사건이다. 이번 사건이 일어나기 D-4일인 지난 3일 보안업체 에스지어드밴텍은 2009년 상반기 악성 코드 동향 보고서를 통해 “상반기 자사 백신프로그램인 바이러스 체이서를 설치한 컴퓨터에 침입을 시도한 악성 코드를 분석한 결과 트로이목마 계열이 56%, 콘피커웜으로 대표되는 네트워크웜이 17%에 달한다”고 발표했다. 특히 트로이목마 계열의 악성 코드 중에는 Download나 MulDrop 계열이 대부분을 차지했다는 것이다. Download나 MulDrop 계열의 트로이목마는 감염되더라도 그 자체로는 컴퓨터 시스템과 보안에 아무런 문제를 일으키지 않는다. 오히려 유저가 컴퓨터를 사용할 때 속도 향상 등으로 더 좋아졌다고 느낄 수도 있다.

이 악성 코드들의 역할은 조용히 시스템을 장악하는 것이다. 시스템을 장악한 뒤의 역할은, 컴퓨터 사용자에게 아무런 악영향을 미치지 않고 조용히 있다가, 코드를 만든 해커가 원하는 시간원하는, 조건이 충족됐을 때 능동적으로 또 다른 악성 코드를 불러오는 것이다. 그리고 본격적으로 악성 코드가 활동할 수 있도록 백그라운드 영역을 유저가 느끼지 못하도록 만드는 일도 담당한다. 이 때문에, 완성도가 높은 Download나 MulDrop는 해커가 그 컴퓨터를 직접 크래킹하지 않고 단지 다른 사이버 범죄 혹은 테러에 동원하기 위한 좀비로 삼을 경우 유저는 감염 여부를 알지 못한다. 그런데 보고서는 “좀비 컴퓨터를 장악한 악성 코드들이 단순히 백그라운드에서 DDoS 공격을 수행하는 수준에 불과하지 않을 수도 있다”고 주장하고 있다. 이와 관련, 에스지어드밴텍은 “좀비 컴퓨터를 장악한 악성 코드가 반드시 DDoS 공격과 같은 단순 임무만 수행할 수 있다고 단정할 수는 없다”고 말했다. 악성 코드의 수준과 완성도가 높을수록 감염된 컴퓨터는 유저에게 전혀 영향을 주지 않는다. 하지만 주인의 명령을 접수한다면 자가복제한 뒤 네트워크 망, USB 등을 통해 좀비 컴퓨터를 확산시킬 수도 있고, 신한은행·국정원·삼성전자의 내부 전산망 등 특정 사이트에 접속할 경우 키보드 및 화면 캡처를 통해 그 사람의 개인정보를 해커에게 유출시킬 수도 있으며, 아예 원하는 사이트에 좀비 코드를 심어놓을 수도 있다는 것이다. 이와 관련, 에스지어드밴텍의 이번 보고서는 “상반기 웜·트로이목마 등의 기승은 사용자의 의지와 상관없이 광고성 프로그램을 띄운다든가 개인의 금융 신용정보를 빼돌리는 행위를 위해 사전에 불특정 다수의 컴퓨터를 감염시켜 범죄 여건을 조성하기 위한 것일 수 있다”고 분석했다. 또한 보고서는 “아크로벳 리더, 엑셀, 파워포인트, 플레쉬, 곰플레이어 등 사용자들이 많이 활용하는 프로그램의 취약점을 이용한 악성 코드가 증가했다”며 주의를 당부했다. 그런데 동사의 관계자는 “Download나 MulDrop에 감염된 컴퓨터에 강력한 해킹용 악성 코드를 삽입한 뒤 삼성전자·국정원·신한은행 등의 내부 전산망을 휘저은 후 원하는 자료를 빼내거나 크래킹을 시도한다면 큰 혼란이 올 수 있다”며 “현재의 상황에서 이같은 우려가 불가능한 것이 아니라는 게 문제”라고 밝혔다. 이러한 점에서 만약 정부 기관과 민간 업체들이 7일 이후 국가 전산망의 공격을 명령한 지역을 기술적으로 지목하지 못한다면 이번 DDoS 공격은 100% 성공한 것으로 볼 수 있다. 테러 세력 규명보다 2차 사태 막는 조치 중요 만약 에스지어드밴텍의 보고서와 주장이 사실과 부합한다면, 우선 시급하고도 중요한 것은 2차·3차 사태를 막아내는 일이다. 이번 테러의 주체가 북한 혹은 그 추종세력이든 외국의 거대 범죄조직이든 혹은 제3세력이든 간에, 최소한 수개월 간 아크로벳 리더, 엑셀, 곰플레이어 등 한국인들이 가장 많이 사용하는 프로그램들의 취약점을 이용하여 악성 코드를 유포해 왔다. 그리고 이를 통해 대한민국의 PC들을 좀비 컴퓨터로 만드는 작업을 차근차근 진행했다. 에스지어드밴텍의 보고서에 따르면, 그 기간은 최소한 6개월 이상이었다. 이처럼 치밀한 준비를 진행한 세력의 목적이 단지 DDoS를 통해 현 정부 등을 골탕 먹이기 위한 것이라고 볼 수는 없다. 특히 정부의 주장처럼 이번 공격의 주체가 북한 혹은 대한민국에 적대적인 세력일 경우 반드시 더 큰 규모의 2차·3차 공격이 있을 것이라는 예측은 상식이다. 하지만 정부 당국은 아직 이 같은 가능성에 대해서는 고려하지 못하고 있는 듯하다. 방송통신위원회의 한 관계자는 “아직 추적 중이며, 북한 세력에 대한 보고는 유력한 가설일 뿐”이라고 밝혔다. 또 에스지어드밴텍의 보고서를 포함해 이번 사태를 예견한 민간 보안업체들의 주장에 대해서는 확인된 바 없다는 입장을 밝혀 왔다. 이와 관련, 해커 활동 경력이 있다고 주장하는 한 전문가는 “범인이 종북세력인지 중국 정부인지 혹은 특정 범죄집단인지를 알려면 DDoS 프로그램 제작자를 찾아야 하고, 최초로 명령을 내린 곳을 찾아야 하는데, 이는 사실상 불가능하다”며 “종북세력의 범행 여부를 규명하려고 총력을 기울이기보다는 청와대·국정원에서 전국의 시중은행 등 금융기관으로 범위를 넓히고 있는 DDoS 공격을 차단하는데 힘을 집중하는 것이 현명한 처사”라고 표현했다. 북한의 공격에 대비하기 위한 민관 합동훈련, 북한의 범행 규명 등은 이번 사태를 진화한 뒤에 해도 된다는 주장이다. 또 보안업계 전문가들은 “사실 DDoS 공격 명령을 내리는 악성코드를 만드는 기술은 해킹 분야에서는 초등학교 산수와 같은 기초기술이며, DDoS 제작자를 찾는 사례는 세계적으로도 손에 꼽을 정도”라고 밝혔다. 청와대·국정원 넘어 금융권으로 피해 확산 한편, 7일 국정원·청와대·국회 등 국가 기관을 향했던 DDoS 공격은 8일 오후 6시 30분을 기해 안철수연구소·알약 등 보안업체를 향했다.

안철수연구소가 “DDoS 공격에 대비한 백신을 배포할 것”이라고 밝힌 직후이다. 그리고 그 다음으로는 신한은행 사이트만을 대상으로 하던 DDoS 공격이 우리은행·하나은행·기업은행 등 금융권으로 집중되었다. 8일 현재 은행 인터넷 뱅킹 시스템이 DDoS 공격을 받은 은행은 신한은행·외환은행·농협·기업은행·국민은행·우리은행·하나은행 등 7곳. 이 가운데 외환은행과 농협은 7일 오후 5시간 동안 인터넷 뱅킹 접속이 지연됐다. 신한은행도 오후 6시 20분부터 8시 30분까지 2시간 10분 간 인터넷 뱅킹 지연을 경험했다. 농협은 7일 오후 8시부터 8일까지 인터넷 뱅킹에 영향을 받았다. 국민은행은 아예 인터넷 뱅킹을 4시간 동안 닫아버리고 특별점검을 실시했다. 이와 관련, 은행연합회는 “아직까지 타인예금 무단 인출 등의 금융사고는 없지만, DDoS를 계속 방치할 경우 매일 20조 원 가량이 오고가는 온라인 금융거래에 치명적인 타격이 올 수밖에 없다”며 “정부 차원의 대책 마련이 필요하다”고 말했다. DDoS 공격, 사이버 고립 효과도 이번 DDoS 공격이 지속되면서 대한민국이 사이버에서 고립되고 있는 것으로 알려졌다. 현재 미국의 주요 기관들은 한국과의 IP연결을 물리적으로 차단한 상태이다. 방송통신위원회는 8일 “현재 미국의 일부 주요 사이트가 한국의 IP 접속을 차단한 상태”라고 밝혔다. 미국에서 한국으로 접속할 수는 있지만, 우리가 미국의 특정 사이트를 접속할 수는 없다는 뜻이다. 이 같은 조치를 취한 곳은 나스닥·국무부·국방부와 미국의소리 등이 있다. 특히 나스닥 사이트의 접속 차단으로 나스닥 주식을 직접 운용하는 국내 중소 자산운용업체와 투자자문사들은 결정적인 타격이 예상된다. 그러나 국내 증권사와 나스닥 간의 특별 전용선은 계속 운용하고 있어 일반 투자자들의 피해는 없을 것으로 전망된다. 한편, 이번 사태를 일으킨 바이러스는 한 개가 아닌 것으로 알려지고 있다. 보안업계에 따르면, 불특정 다수의 컴퓨터를 좀비화한 좀비형 악성 코드와 좀비 컴퓨터로 해커의 명령을 충실히 수행하는 실행형 악성 코드, 그리고 실행형 악성 코드에게 명령을 전파하는 명령형 악성 코드로 나뉜다. 보안업체의 한 관계자는 “지난 7일과 8일 동안에는 DDoS 공격 코드만을 내보냈으나, 10일에는 하드디스크를 훼손하는 악성 코드도 추가시켰다”고 밝혔다. 에스지어드밴텍의 2009년 상반기 악성 코드 동향 보고서 요약 “상반기 Download나 MulDrop 계열의 트로이목마가 국내 모든 PC 장악” 2009년 상반기 동안의 악성 코드는 1월부터 5월까지 전체적으로 조금씩 감소하는 듯한 경향을 보였으나, 6월부터 스파이웨어와 기타 바이러스를 제외한 다른 악성 코드는 다시 증가하는 형태로 나타났다. 특히 트로이목마가 6월 들어 급격히 늘어났고, 네트워크웜에 감염된 시스템은 다른 악성 코드와 다르게 상반기 동안 지속적으로 증가하는 형태로 나타났다. 네트워크웜의 감염 현상이 상반기에 지속적으로 증가하여 나타난 원인은 Shadow로 대표되는 웜과 그 변종에 대한 감염의 증가와 관련이 있다. Shadow(Conficker)에 감염된 시스템의 증가 원인은 USB와 윈도우 보안 취약점, 네트워크 공유폴더 등 다양한 확산방법을 이용하여 스스로 전파하는 웜의 특징에다 3월과 4월 간에 변형들이 계속적으로 발생하였기 때문이다. 트로이목마의 증가 원인은 트로이목마에 감염되면 자신 이외의 또 다른 트로이목마 또는 악성 코드들을 다운로드받아 설치하는 Download나 MulDrop 계열의 트로이목마가 증가했기 때문으로 분석되었다. 특히 MS 파워포인트, 어도비 아크로벳 등의 취약점을 이용한 악성 코드 등 사용자들이 많이 사용하는 응용 프로그램에 대한 취약점을 이용하는 악성 코드들이 증가하는 추세이다. 또, 한 번 감염되면 수십 개의 악성 코드들을 다운로드받아 설치하는 형태의 트로이목마 악성 코드는 다른 악성 코드를 불러들여 DDoS 공격시 좀비 컴퓨터로 활용, 사용자 정보 유출, 스파이웨어, 광고 목적의 애드웨어 설치를 통해 사용자를 범행에 동참케 하거나 피해를 끼친다.