미국 울트라DNS의 자료에 의하면, 공격 소스 IP 기준으로는 14%의 비중을 차지해 미국(40%)과 중국(16%)에 이은 3위를 차지했다. 하지만, 발생 트래픽으로 분류한 NANOG의 자료에 따르면, 61%로 18%의 트래픽을 발생시킨 중국, 13%의 트래픽을 발생시킨 미국을 제치고 최대 트래픽을 발생시킨 것으로 드러났다.
높은 트래픽을 발생시킨 원인은 공격 발생시간이 한국 시간 기준으로 오후 7시(미국 시간 새벽 2~3시)에 발생해 한국 등 아시아 국가에서 다수 IP가 인터넷에 접속됐다는 점과 아울러 우수한 초고속망과 PC의 성능으로 인해 좀비 PC가 발생한 공격 횟수가 많았기 때문이다. 그렇지만, IP 기준으로 3위, 트래픽 기준으로 1위의 오명을 앉게 된 것은 그만큼 국내 PC 사용자의 보안의식 취약을 나타낸다고도 지적된다.
이번 공격은 루트 DNS 서버를 대상으로 DNS 쿼리를 대량발생시켜 서버의 응답 처리 성능을 저하시키는 DDoS 공격으로 지난 2월 6일 오후 7시에서 7일 오후 2시까지 진행됐다. 좀비 PC를 이용한 DDoS 공격으로 원격지 봇 조정자의 명령에 따라 좀비 PC들이 DNS쿼리를 발생시켜 DNS 서버를 공격했다. 독일에서 사용하는 IP에서 IRC(Internet Relay Chat) 명령이 전달됐으며, 이를 통해 사전 감염된 좀비 PC들이 DNS 서버를 공격했다.
이번 집중 공격은 미국 G, L 루트 DNS 서버 대상으로 발생한 것으로 국내에는 3개의 미러 사이트(Mirror Site)가 소재해 큰 영향을 받지 않았지만, 중국과 비슷한 규모의 좀비 PC가 국내에 존재하는 것으로 나타나 사용자 보안 의식 강화가 시급함을 입증했다. 보안의식 미비로 취약한 좀비 PC가 다수 존재해 언제든 악용될 수 있는 것.
정통부는 “DDoS 공격 발생지로 추정되는 IP 조사결과 이번 공격에 사용된 ‘Virut’ 바이러스 외에도 스팸 발송, 게임 해킹 트로이젼 등 다수 악성코드 발견됐다”며 “개인 PC의 패치 미설정이 주된 감염 요인”이라고 지적했다. 정통부는 주요 IPS, 주요 포털과 연계한 PC자동보안 업데이트 프로그램의 보급을 확대하고, 공격 발생지 IP가 확인된 해당 ISP와 기관에 통보하여 악성코드 삭제 및 보안 패치 등 설치 유도함으로써 국내 좀비 PC의 수를 줄여나가겠다는 계획을 발표했다. 또한 대기업 등 DNS 서버를 사용하는 기관 및 ISP를 대상으로 한국정보보호진흥원의 봇 차단 시스템을 확대해 DNS 공격에 대비하겠다는 계획도 아울러 밝혔다. <오현식 기자>
