[Cover Story] DDos 무차별 공격에 '속수무책' … 야동 사이트·불법 다운로드가 온상

청와대，은행，포털 등 35개 국내외 사이트를 DDoS 공격한 배후는 북한인 것으로 추정되고 있다.

국가정보원은 이번 공격에 사용된 악성코드 안에 북한 해커들이 많이 사용하는 NLS(*.nls) 확장자가 들어가 있는 점을 근거로 북한을 의심하고 있다.

국정원은 지난달 30일 중국 선양의 북한인 해커조직이 한국기계연구원에 DDoS 공격을 감행했을 당시 악성코드 확장자가 NLS인 것으로 확인한 것으로 전해졌다.

공격 경로를 파악하는 과정에서 '눈에 익숙한' 북한인 해커 조직의 IP 대역이 동원됐다는 사실도 배경으로 꼽았다.

하지만 보안전문가들은 이런 정보만으로 배후가 북한이라고 단정하는 데는 무리가 있다고 평가한다.

좀비 PC를 동원하고 IP를 세탁하는 DDoS 공격의 특성상 중간에 사용된 IP만으로 배후를 단정하기 어려운 데다 완전범죄를 노리는 해커들이 동일한 확장자를 반복 사용했을 가능성도 떨어진다는 지적이다.

다만 이번 공격이 국내 환경을 잘 아는 사람일 것이라는 데는 의견이 모아진다.

악성코드에 감염된 PC가 35개의 파일 확장자명을 검색해 데이터를 삭제했는 데 요즘 사람들이 잘 알기 어려운 1990년대 중반 확장자들이 확인된 이유에서다.

이 중 군대와 행정기관에서 자주 사용했던 하나워드 파일이 대표적인 증거로 국내 상황을 잘 아는 사람이 옛 공문서 파괴를 노렸을 수 있다는 주장이다.

DDoS 진원지를 찾아내기 어려운 수사 특성상 배후를 끝내 밝히지 못할 수 있다는 주장도 나온다.

인터넷보안업체 시만텍의 딘 터너 세계정보네트워크 국장은 이 공격을 감행한 단체를 특정짓는 것을 경계하며 "공격이 어디에서 시작됐는지, 공격에 사용된 컴퓨터가 어디에 있는지는 밝혀낼 수 있겠지만 그런 정보를 통해 공격을 감행한 사람이 누구인지까지 정확하게 알 수 있는 것은 아니다"고 설명했다.

방송통신위원회는 지난 15일 DDoS 공격을 진두지휘한 메인 서버가 영국에 있다는 사실을 베트남 컴퓨터 보안업체인 브키스로부터 통보받았다고 발표하기도 했다.

브키스는 아시아 16개국 22개팀으로 구성된 민간 자율 침해사고대응팀인 아태침해사고대응팀협의체(APCERT)에 소속된 업체다.

⊙ 사이버 보안체계 마련 시급

배후에 대한 논란만큼이나 뜨거운 논쟁거리는 DDoS 공격에 대한 국내 방어체계가 지나치게 허술했다는 부분이다.

정부는 허둥대는 모습을 보였고 많은 개인 PC들이 좀비 PC로 낚이는 문제점도 드러냈다.

특히 국민들의 보안의식이 큰 문제로 지적된다.

전국에 보급된 3000만대의 PC 가운데 200만대 이상이 전혀 백신을 사용하지 않고 있다는 조사 결과가 나올 정도다.

파일공유(P2P)사이트나 웹하드 등에서 무분별하게 공짜 콘텐츠를 내려받는 관행도 문제점이다.

해커는 이번 공격에서 좀비 PC를 유혹하는 낚시터로 P2P 사이트를 택한 것으로 확인됐다.

P2P 사이트 같은 곳이 짧은 시간에 많은 좀비 PC를 유혹하기에 안성맞춤이기 때문이다.

특히 야동사이트 등이 진원지로 알려지고 있다.

한국 네티즌들의 평소 인터넷 이용 습관이 고쳐지지 않으면 이런 상황은 언제든 반복될 수 있다는 지적도 나온다.

이번에 공격을 같이 받은 미국보다 우리나라에서 피해가 더 컸던 것도 바로 이 때문이다.

안철수연구소 관계자는 "불법 파일을 내려받는 국내 인터넷 문화가 개선되지 않는 한 이번 사이버 테러와 같은 일이 반복될 것"이라며 "PC에 백신을 반드시 설치하고 윈도나 백신의 업데이트만 잘 관리해도 DDoS 피해를 크게 줄일 수 있다"고 강조했다.

김태훈 한국경제신문 기자 taehun@hankyung.com