악성코드에서 '정부용 확장자' 발견 …사이버 전쟁 의혹 커져

지난 7일 오후 6시 44분 청와대, 한나라당 등 국내 12개 인터넷사이트를 대상으로 시작된 분산서비스거부(DDoS) 공격이 8일 변종 출현, 10일 0시 데이터 파괴로 이어지는 등 상황이 악화되고 있다.

특히 악성코드가 파괴하는 문서파일에 우리나라 행정기관전산망에서 사용하는 '아래아 한글 확장자(.kwp)'가 발견되면서, 정치적 목적을 가진 해커가 테러를 감행한 것 아니냐는 의혹이 커지고 있다.

악성코드 내부에 '독립기념일을 기리며(Memory of the Independence Day)'라는 문구가 들어있는 것이 밝혀지고, 명령 및 제어 서버없이 청와대나 국회, 조선닷컴 등 공격대상을 정했다는 점, 여기에다 데이터 파괴 대상까지 정부용 문서를 노리고 있다는 점 등 기존 단순 공격형태와 달리 진보된 모습을 보이고 있기 때문이다.

10일 정부와 관련 업계에 따르면 국가정보원과 보안업계 등은 지난 9일 밤 11시쯤에서야 비로소 악성코드가 특정 인터넷사이트 뿐 아니라 특정 시간이 되면 감염된 '좀비PC'의 문서파일들을 파괴한다는 사실을 확인했다.

이날 오후까지만 해도 공격대상 인터넷사이트의 접속을 지연시키는 단순한 DDoS로 의심했지만, 악성코드와 좀비PC 분석결과 지난 99년의 '체르노빌(CIH) 바이러스' 처럼 컴퓨터의 데이터를 파괴시킬 수 있는 것으로 확인된 것이다.

해커가 공격대상으로 삼은 좀비PC 윈도 내부 파일에는 '40004'라는 숫자가 들어있는데, 이를 '일' 단위로 환산해 계산하면 '7월10일'날을 의미하며, 실제로 이날 0시부터 데이터 파괴가 시작됐다.

또한 악성코드 내부에는 '독립기념일을 기리며(Memory of the Independence Day)'라는 글이 담겨있고, 악성코드가 파괴하는 문서파일의 확장자에는 워드나 엑셀, 아래한글 뿐 아니라 우리 정부 행정전산망에서 쓰는 아래한글의 확장자(.kwp)도 포함돼 있는 것으로 밝혀져 충격을 준다.

정부 관계자는 "지난 9일 오후 까지만 해도 개인 PC가 좀비PC가 되더라도 개인PC에 문제가 생기는 것이 아니라 다른 사이트를 공격하는 줄로 알았지만, 이제 상황이 완전히 변한 셈"이라고 말했다.

터보테크 권석철 부사장(전 하우리 사장)은 "이번 악성코드는 압축파일 형태로 위장돼 있고, 압축파일을 열더라도 복구가 불가능하도록 만들어졌다"며 "실행 파일에는 문제가 없지만 문서파일들은 모두 파괴된다"고 말했다.

이에 따라 단순 DDoS 공격만으로 여겼던 이번 공격이 초기 특정 인터넷사이트에 대한 접속지연 현상을 넘어, 감염PC의 데이터 파괴 피해가 커 질 수 있다는 우려다.

특히 개인 뿐만 아니라 정부나 공공기관 PC의 데이터들의 피해가 더욱 우려되는 상황이다.

이에 따라 행정안전부는 10일 오전 각 부처 청사에 '안전모드(F8)로 부팅하고 인터넷접속 전에 각 보안업체들의 백신으로 치료하라'는 내용의 홍보물을 부착하기도 했다.

정부의 대응에도 불구하고 단순 DDoS로 오해된 이번 공격이 태풍으로 확대될 것이라는 전망이 수그러들지 않고 있다.

터보테크 권석철 부사장은 "어떤 경로로 유포됐는 지, 해커가 누구인 지 알 수 없는 상황인 데다 보안 패치를 받은 일부 PC를 제외하곤 대부분의 PC가 잠재적인 위험에 노출돼 있어 해커가 맘만 먹으면 언제든지 좀비로 만들어 버릴 수 있는 상황"이라고 우려했다.

정부 관계자는 "정부는 물론 보안업체들도 초기 대응에 실패했다"면서 "몇몇 인터넷 사이트에 대한 접속지연을 막기 위해 네트워크 장비 증설이나 망분리 같은 것만 생각했지 실제로 이 악성코드가 어떤 기능을 하는 지는 제대로 점검하지 않았다"고 시인했다.