미궁에 빠진 해커 추적

인터넷 대란을 일으키고 있는 디도스(DDoS) 공격을 누가, 무슨 목적으로 감행하고 있는지가 미궁 속으로 빠져 들어가고 있다.

국정원과 일부 미국 관료가 북한 또는 종북세력 연루설을 주장하고 있으나, 악성코드를 분석하고 있는 한국정보보호진흥원(KISA)과 민간 보안업체 전문가들은 “누가 디도스 공격을 계획하고, 실행하는지 특정할 만한 근거를 아직 찾지 못했고, 앞으로도 찾지 못할 가능성이 있다.”고 말한다.

보안업체 잉카인터넷 마정우 차장은 “한 사이트에 100기가바이트 이상의 방대한 데이터를 쏟아 붓는 데다, 디도스의 특성상 가해자가 피해자인 것처럼 가장할 수도 있고, 쌍방향 통신이 아닌 일방적인 트래픽 전송이어서 배포 근원지와 배포자를 찾기 힘들다.”고 밝혔다. 다른 전문가 역시 “북한 배후설은 피해를 본 사이트들의 특성 때문에 추정 가능한 예상이지, 아직 근거가 확실한 것은 아니다.”고 말했다.

●피해 사이트 나와야 공격개시 확인

과거 디도스 공격은 한·일 네티즌이 벌였던 사이버 독도 전쟁처럼 특정 시간, 특정 사이트에 수동으로 트래픽을 집중시켰기 때문에 IP(인터넷프로토콜·주소) 추적이 가능했다. 하지만 요즘은 공격 스케줄이나, 공격 대상, 악성코드 변형 등을 모두 사전에 설계해 놓고 때가 되면 자동으로 공격을 진행하도록 프로그램을 짜기 때문에 추적이 힘들다. 특히 한국은 초고속인터넷이 워낙 발달해 특정 국가나 조직이 아닌 개인 해커도 몇대의 PC만으로 방대한 트래픽을 전송해 기간망 등을 언제든 교란시킬 수 있다.

●금전적 요구도 없어 의도 불분명

더욱이 피해 사이트가 본격적으로 나타나야만 공격 개시 여부를 알 수 있을 뿐 언제부터 계획된 공격인지도 파악할 수 없다. 이용자들은 자신의 PC가 좀비PC(바이러스에 감염돼 악성코드를 배포하는 PC)로 활용되는지도 모른 채 사용한다. 악성코드 배포가 집이나 사무실이 아닌 PC방에서 이뤄졌다면 설령 해당 컴퓨터의 IP를 확보했다고 하더라도 범인을 붙잡기는 어렵다.

이번 공격의 목적도 불분명하다. 과거 디도스 공격은 주로 금전적인 이득을 위해 사전에 공격을 예고하고, 요구를 수용하지 않으면 공격하는 방식이었다. 하지만 현재까지는 단순한 트래픽 과부하로 인한 사이트 다운 현상만 벌어질 뿐 정보유출 등의 문제점은 나타나지 않는다.

KISA 관계자는 “2차 공격이 국정원, 안철수연구소 등 해커의 공격을 막는 보안기관에 집중된 것을 보면 한국의 인터넷 기반 자체를 붕괴시키려는 목적일 수도 있다.”면서 “만약 이 목적대로 공격을 계속한다면 돈 요구나 정보유출보다 더 심각한 문제를 초래할 수 있다.”고 우려했다.

이창구기자 window2@seoul.co.kr