"DDoS 근본 처방 없어"…방통위, 사이버테러 브리핑

12개 국내 사이트, 14개 미국 사이트가 대상

김현아기자 chaos@inews24.com

방송통신위 황철증 네트워크정책국장은 "악성코드에 감염된 컴퓨터의 인터넷주소(IP)를 탐지해 적극적으로 차단하고 있으며, 한국정보보호진흥원(KISA)를 통해 민간 분야 주의 경보를 발령했다. 공공분야도 국정원을 통해 주의 경보가 발령된 상태"라고 말했다.

황 국장은 이어 "인터넷서비스업체, 백신업체와 긴밀히 대응하고 있으며, 악성코드를 제거하는 데 국민들이 협조해 달라"면서 "경찰청, 국정원 등과 악성코드 유포 경로와 유포자를 찾기 위해 노력하고 있다"고 말했다.

다음은 황철증 네트워크정책국장 및 KISA 이명수 인터넷침해사고대응지원센터장과의 일문일답.

-지난 1.25 인터넷 대란과 다른 점은.

"지난 번에는 분산서비스공격(DDoS)의 대상이 인터넷 도메인네임시스템(DNS)여서 인터넷 전체가 접속 불능이거나 문제였다. 하지만 이번에는 악성코드 안에 26개 인터넷 사이트(국내 12개, 미국 14개)만 공격하도록 돼 있다."

-유포경로나 유포자는 확인되나.

"확인이 안된다. 미국 사이트 접속 장애의 경우 한국에서 트래픽이 발생한 것으로 안다. 현재 미국에서 한국 IP를 차단해 우리나라에서 백악관이나 나스닥의 홈피 접속이 안된다."

-해당 시간대에 한국으로 유입되는 트래픽에 변화가 있었나. 있었다면 해외발인데.

"국내 인터넷 관문국의 트래픽이 100기가를 넘어, 몇 개 사이트 공격만으로는 변화 감지가 어렵다."

-2차 진원지는 한국인가.

"한국에 있는 공격PC다. 그러나 시점은 확인이 안된다."

-감염된 PC규모는.

"오늘 새벽 기준으로 인터넷서비스업체(ISP)에게 받아보니 1만8천여대 정도다. 그러나 업무가 시작되면서 늘어날 것으로 본다."

-겨우 1만8천여대로 이런 일이 발생할 수 있는가.

"한대의 PC로부터 기가단위의 트래픽을 발생시킬 수 있다. 감염된 좀비 PC가 계속 쿼리를 발생해 해당 사이트가 응답하면서 자원이 낭비되는 것이다."

-명령 서버가 없는데, 유포자나 유포경로를 잡을 수 있나.

"쉽지는 않다. 다만, 좀비PC의 로그를 분석해 공통적인 사항을 찾을 수 있을 것 같다. 어디어디에 접속했는 지 등을 보면 될 것이다. 아직 결과는 못내고 있다."

-청와대는 얼마전에도 공격받았는데, 대책이 뭐냐.

"청와대, 국회, 국방부는 국가 사이버 안전센터 관할이다. 현재로선 감염PC의 악성코드를 빨리 제거하고 차단하는 게 급선무다."

-1만8천대 PC에 대한 조치는.

"기업이나 공공기관용이면 전산실에서 자동 업데이트되는데, 가정용 PC이고 정품이 아니라면 쉽지 않다. ISP에 요청한 것은 원격으로 서비스하거나 현장에 가서 패치를 깔아주고 오라고 요청했다."

-백신은 업데이트됐나.

"안철수 연구소, 하우리, 알약 등 대부분이 가능하다."

-DDoS에 대한 근본적인 대책은 없나.

"행안부에서 DDoS 공격 차단을 위한 외산 장비 공급을 추진중이다. 수요 조사에 들어갔다. 그러나 공격 차단이 장비로 100% 가능한 것은 아니다."

-1만8천대 PC가 문제를 일으킨다면 이를 차단할 법적 근거는 없나.

"지난 2003년 1.25 대란이후 주요한 침해사고 대응방법으로 백신을 안 까는 사용자를 처벌하거나 감염PC의 인터넷 접속을 차단하는 일도 논의됐다. 그러나 쉬운 일은 아니다. ISP 입장에서는 고객민원이 생길 수 있는 문제이다. ISP에게 자동 보안 업데이트 의무를 주는 일 역시 논의가 필요하다. 강제로 중단시킬 수 있는 법적 근거는 없으며, ISP 이용약관에 있는 지는 확인해야 한다"

-이번 사건의 공격의도는.

"26개 사이트만 대상인데, 계속 안되는 곳도 있고 다시 복구된 곳도 있다. 이는 사이트별로 운영체계가 다르기 때문이다. 공격목적은 아직 파악이 안되고 있다."

-일각에서는 중국이나 북한을 의심하는 데.

"확인이 안됐다. 중국인지, 미국인지, 한국인지 정확하게 말씀드리기 어렵다. 다만, 우리나라의 해킹 실력도 세계에서 다섯 손가락 안에 든다. 외교쪽에서는 정확한 확인없이 특정국 이름을 거명하지 않길 바란다."

-공격 대상이 된 26개 사이트를 발표해 달라.

"발표하면 궁금증을 유발해 들어가 보려고 해서 트래픽이 몰릴 우려가 있다. 또한 특정 사이트 공개는 국민의 알권리인 지, 아니면 해당 회사와 고객간 문제인 지 판단이 어렵다."

-국민의 알권리 차원에서 알려줘야 하는 거 아니냐.

"국민의 알권리에 들어가는 지 판단이 어렵다."

-공공사이트는 어디냐.

"청와대, 국방부, 외통부, 국회, 한미연합군 사령부, 한나라당이다."

-'주의' 경보가 적절했나.

"이번 사건은 정보를 빼낸 해킹이라기 보다는 26개 사이트에 대한 접근 장애여서 주의 정도로 했다. 피해 사이트가 늘거나 하면 수위가 올라갈 수 있다. "