뚜렷한 이유없이 성능저하땐 악성 ‘봇’ 감염 확인해야

[Science] 진화하는 ‘디도스’… 당신의 PC는 안전하십니까?
범죄신고는? 국번 없이 112다.

당신의 주변에 맛집을 찾기 위해 전화번호를 알려면? 당연히 114를 눌러야 한다.

화재 등 위급상황이 생기면? 물어볼 것도 없이 119를 눌러야 한다.

최근 또 하나가 추가됐다.

그렇다면 118은 무엇인가?

118은 인터넷 침해사고 대응지원센터의 전화번호다.

인터넷 보안이 이제는 불이나 도둑 등과 함께 위기상황으로 인식된 셈이다.

사실 인터넷 보안은 지난 8월 디도스 공격으로 국내 다수 기업의 인터넷홈페이지가 마비되면서 이제 개인이나 기업의 문제를 넘어서 국가적으로도 중요한 이슈다.

디도스란 용어는 최근에 많이 회자되고 있지만 처음은 아니다.

이미 2003년에도 비슷한 방식으로 국내 네트워크가 마비된 적이 있다.

흔히 '1 · 25 인터넷 대란'으로 불리는 사건으로 사파이어 혹은 슬래머라 불리는 웜에 감염된 PC들이 대량의 데이터를 한국통신 혜화전화국의 DNS 서버에 보내면서 시작됐었다.

이때 국내 네트워크가 완전히 마비되면서 큰 혼란이 빚어지기도 했다.

⊙ 디도스란 무엇인가?

디도스(DDoS)는 영문 'Distributed Denial of Service attack'의 약자다.

분산거부 서비스공격이라는 뜻을 갖고 있다.

즉 분산 공격에 의해 서비스에 장애가 일어난다는 의미다.

컴퓨터 바이러스가 파일 삭제나 시스템 파괴 등을 목적으로 한다면 디도스는 웹 사이트가 정당한 서비스를 못 하도록 막는 변종 공격이다.

서비스 거부란 무슨 뜻일까?

이는 비정상적 방법으로 CPU나 네트워크 등 시스템 자원을 독점함으로써 시스템이 더 이상 정상적인 기능을 하지 못하도록 막는다는 것.

즉 디도스는 일정한 시간 동안 대량의 데이터를 전송시키거나 서버에서 대량의 데이터를 처리하게 해서 시스템에 과부하를 일으키는 것이 특징이다.

해당홈페이지에서는 자연히 정상적인 서비스가 될 리 없다.

왜 이런 일이 일어날까?

답은 이렇다.

CPU의 성능이나 네트워크의 대역폭에는 물리적인 한계가 있어서 지나치게 부하가 걸리면 정상적인 기능을 할 수 없게 되기 때문이다.

첫눈이 내린 날 사람들이 동시에 휴대폰을 걸면 휴대폰 네트워크 용량이 초과돼 전화가 불통되는 것과 비슷한 원리다.

디도스는 바로 이러한 방식으로 공격한다.

디도스의 공격자는 웜과 같은 악성코드를 이용하여 개인 PC나 서버에 봇(bot)이라는 프로그램을 몰래 심어 놓는다.

봇은 컴퓨터 바이러스나 웜 등과 구분되는 용어로 로봇(robot)에서 따온 용어다.

일단 봇에 감염된 PC는 해커가 마음대로 조종할 수 있다.

이런 PC를 좀비 PC라고 부른다.

좀비 PC는 계정 정보 유출,특정 홈페이지 공격, 스팸메일 발송과 같은 불법 행위에 이용되는데 더 무서운 사실은 적잖은 유저들이 자신의 PC가 좀비 PC로 사용되고 있다는 점을 모른다는 것이다.

디도스는 특정 사이트를 공격하기 위한 도구를 사전에 여러 좀비 PC에 분산해서 심어놓았다가 계획된 시간이 되면 목표 사이트에 대한 공격을 일제히 개시한다.

다시 말하면 여러 대의 좀비 PC들이 힘을 합해서 하나의 서버를 집중적으로 공격하는 것이다.

보통의 사이트에서 처리할 수 없을 만큼 엄청난 양의 네트워크 트래픽을 발생시키기 때문에 시스템의 성능이 크게 떨어지고,심하면 시스템 전체가 마비되는 경우도 있다.

1대의 봇 서버에 1000대 이상의 좀비 PC가 연결될 수 있으므로,피해는 기하급수적으로 증가한다.

초기의 디도스 공격은 해커들이 자신의 능력을 자랑하는 수준에 머물렀다.

그러나 요즘 들어서는 금전적 이익을 목표로 하거나,중요한 기밀 정보 빼내기,보복성 공격,경쟁사에 대한 청부 공격 등으로 나날이 다양해지면서 조직적이고 위험한 사이버 범죄로 진화하고 있다.

공격 대상 업체에 몸값을 요구하기도 하고 마음대로 조종할 수 있는 좀비 PC들을 은밀히 거래하는 경우도 있다.

디도스 공격은 은행이나 증권사와 같은 금융기관,온라인 쇼핑몰,포털 사이트,정부 관련 사이트 등 인터넷으로 연결되는 모든 곳이 대상이다.

공격을 당한 곳은 이미지 실추는 물론 보안이 취약한 중소업체는 회사의 사활이 좌우될 수도 있다.

초기에는 서버에서 좀비 PC를 조정했기 때문에 방어가 비교적 쉬웠다.

그러나 최근에는 각각의 좀비 PC들이 직접 다른 좀비 PC들을 조종하는 수준까지 발전했다.

이 때문에 디도스를 조종하는 해커를 추적하거나 디도스를 방어하기가 더 힘들어졌다는 것이 전문가들의 진단이다.

⊙ 디도스 공격을 막을 방법은 없을까?

그렇다면 이런 디도스 공격을 막을 길은 없는 것일까?

가장 효과적인 방어책은 개인 PC 사용자들이 사전에 감염되는 일을 막는 것이다.

전문가들은 개인 사용자들이 자동 보안패치, 백신, 개인 방화벽을 설치하고 패스워드는 자주 변경해야 한다고 충고한다.

또 믿을 수 없는 사이트에서 제공하는 엑티브엑스(ActiveX)를 설치하지 않아야 하며 공인인증서 관리를 철저히 해야 한다.

특히 중요한 일은 전용 백신을 다운로드하여 PC를 틈틈이 점검해야만 한다는 것이 전문가들의 의견이다.

정기적으로 보안 업데이트와 액티브엑스의 삭제를 하는 것도 중요하다.

자신의 PC가 뚜렷한 이유 없이 성능저하를 보이는 경우에는 봇에 감염되었을 가능성을 염두에 두고 꼼꼼하게 확인할 필요가 있다.

한국인터넷진흥원에서 운영하는 보호나라 사이트(http;//www.boho.or.kr)를 이용하면 자신의 PC가 좀비 PC로 이용되고 있는지 쉽게 확인할 수 있다.

별다른 프로그램 설치 없이 인터넷에 접속하는 것만으로도 간단히 진단이 가능할 뿐 아니라 유용한 무료 백신정보도 얻을 수 있다.

역설적으로 평소보다 지나치게 많은 접속이 보호나라의 서비스에 부담을 줄 수도 있기 때문에 보호나라 측에서는 네트워크 대역폭을 10배로 확대하고 웹 가속기를 설치했다고 한다.

한국인터넷진흥원에서는 악성 봇에 감염된 PC가 해커와 연결을 시도할 때 자동적으로 해커대신 한국인터넷진흥원 홈페이지로 연결해주는 DNS 싱크홀 서비스도 운영중이다.

지난 8월 디도스 대란이후 현재 디도스 공격은 진정 국면에 들어간 것처럼 보이지만 안심할 수는 없다는 것이 전문가들의 의견이다.

디도스는 단순한 서비스 거절 뿐 아니라 파일 삭제와 같은 악의적인 공격도 할 수 있기 때문이다.

보안업체들이 디도스 공격에 대비한 다양한 방법을 강구하고 있지만 디도스 역시 이에 대응해서 악성코드를 계속 바꾸며 진화하고 있다.

<도움말 : 이식 한국과학기술정보연구원 책임연구원>

임기훈 한국경제신문 기자 shagger@hankyung.com