행정안전부가 보안 관계 기관과 협력해 지난 29일 조달청의 나라장터를 2시간 동안 마비시킨 분산서비스거부(DDoS) 공격 근원지에 대한 추적에 나서 내달초 그 결과가 나올 전망이다. 또, 다음번 사이버 테러 대상은 G20 정상 회의가 열리는 코엑스 홈페이지가 될 것으로 조심스럽게 추정됐다.
31일 행정안전부 관계자는 “국내 미국 중국 베트남 등지에서 나라장터 사이트에 유입된 IP를 추출해 분석하는 작업에 들어갔다”며 “1만여 개의 IP를 생성한 공격 근원지에 대한 분석 결과가 빠르면 내달 첫째 주 내 나올 것으로 보인다”고 말했다.
하지만 DDoS 공격을 명령한 서버 소재지만 파악이 가능할 뿐 배후에서 DDoS공격을 조정한 해커를 밝히기까지는 적지 않은 시간이 걸릴 전망이다. 실제 세계 주요 은행 컴퓨터 등 약 1200만대의 컴퓨터를 감염시킨 `마리포사` 봇넷(바이러스에 감염된 컴퓨터 네트워크) 악성 코드를 제작 유포한 해커도 1년 8개월 만에 미국 연방수사국에 의해 검거 된바 있고 지난해 7.7 DDos 대란 배후도 북한으로 추정하는데 그친 바 있다.
행안부는 나라장터 사이버 공격 이후 공공기관을 대상으로 눈에 띄는 추가 사이버테러 징후는 없는 것으로 파악했다. 하지만 만반의 사이버테러 대응 태세를 갖추고 DDoS 공격이 또 다시 발생하면 신속히 대응하기로 했다.
행안부 관계자는 “지난해 발생한 7.7 DDoS 대란과 달리 G20 비상대응 체제에 돌입하고 있어 좀비 PC가 나라장터를 공격한지 10분 만에 공격을 신속하게 차단했다”고 말했다. 이 관계자는 “다만, 사이트에 유입된 트래픽이 유해 IP인지 판단하고 이를 패턴처리하고 방화벽 등 각종 보안장비에서 이를 처리하는데 걸린 시간이 2시간 20분 걸려 서비스가 지연, 민원인이 불편을 겪게 됐다”고 설명했다.
즉, 지난 7.7 DDoS 대란 때 전체 2만3000개 IP가 23개 공공기관 민간기관에 분산돼 공격, 한 사이트만 평균 1000개의 IP가 공격을 했으나 이번 조달청의 경우 1만여 개 IP가 동시에 공격, 처리하는 데 시간이 걸렸다는 것이다.
보안업체의 해커 출신 한 관계자는 “조달청에 이어 다음번 사이버 테러 대상은 G20 정상들이 한 자리에 모여 회의를 여는 코엑스의 홈페이지가 가장 유력할 것으로 판단된다”며 “코엑스 보안 관리자는 사이버 공격에 주의를 기울여야 할 것”이라고 말했다.
안수민기자 smahn@etnews.co.kr
