2009년 한여름 발생한 대규모 디도스 공격은 미국에서 벌어진 ‘7·4 독립기념일 디도스 공격 사건’쯤으로 기록될 뻔했다. 그런데 공격이 대한민국으로 방향을 틀면서 더 큰 규모의 공격으로 번졌다. 우리가 지금까지 기억하고 있는 ‘7·7 디도스 공격’은 북한 배후 해커 조직이 벌인 최초의 대규모 사이버 만행의 실체였다. 그리고 북한이 유사한 방식으로 진행한 디도스 공격은 지금도 대한민국을 비롯한 전 세계 국가의 안보를 위협하고 있다. 이를 자세히 이해하지 못하면 과거처럼 북한에게 당할 것이고, 미래에도 북한의 사이버 위협으로부터 벗어나기 어려울 것이다.

━

대한민국의 신속한 대응 작전

━

2009년 7월 4일 토요일(한국시각 7월 5일 일요일 새벽 2시) 미국을 강타했던 디도스 공격이 목표 대상을 바꿨다. 7월 7일 화요일 저녁 대한민국이 북한 배후 세력의 사이버 공격을 받기 시작했다. 한국의 인터넷침해대응센터는 사이버 공격을 최초 인지한 시점에서 16분 만인 오후 7시쯤 관련 기관인 국가정보원(NIS·국정원) 예하 국가사이버안전센터(현 국가사이버안보센터·NCSC)에 상황을 전파했다.

러시아가 침공에 앞서 우크라이나 인터넷망에 디도스 공격을 가했다. 당시 접속이 불통된 우크라이나 국방부 사이트. BleepingComputer)

<이미지를 클릭하시면 크게 보실 수 있습니다>

평일 업무 종료 후 시작된 공격이었지만, 사이버 위협 관련 기관의 대응 전문가는 비상대기를 시작함과 동시에 공격 IP 탐지에 들어갔다. 이들은 민간 인터넷 서비스 제공업체(ISP)에 모니터링 강화를 지시했다. 전문가들은 악성코드 샘플 채취와 분석을 했고, 자정께 디도스 공격에 대한 대국민 보도자료를 배포했다.

다음 날인 8일 새벽 12시 전문가들은 1차로 악성코드 내용 분석에 성공해 공격 대상 리스트를 알아낼 수 있었다. 약 3시간이 조금 지난 7월 8일 새벽 2시 40분쯤 민간에 대국민 사이버 경보단계 ‘주의’가 발령됐다. ‘주의’는 사이버 경보 4단계(관심→주의→경계→심각) 중 2단계에 해당한다. 정부는 또 7월 9일 밤 11시 30분부터 대한민국의 대표적인 포털 사이트 3곳(네이버·다음·네이트)의 뉴스 제공 서비스를 통해 디도스 공격에 관한 긴급 사항을 알렸고, 동시에 지상파 3사와 YTN 등에 긴급 자막방송도 내보냈다.

━

천문학적 피해 현황

━

앞선 미국에 대한 3차례의 공격처럼 대한민국을 향한 대규모 디도스 공격은 24시간 단위의 3차례 공격으로 이뤄졌다. 즉 7·7 디도스 공격은 전체적으로 총 6차례로 구성돼 있었다. 1~3차는 미국, 4~6차는 대한민국이 공격 대상이었다.

4차 공격이자 앞서 설명한 대한민국 기준 1차 공격은 7월 7일 오후 6시부터 다음날 오후 6시까지였다. 2차 공격은 7월 8일 오후 6시부터 24시간 동안이었고, 3차 공격은 7월 9일 오후 6시 시작됐고, 3시간 만에 차단됐다. 시간이 지남에 따라 공격이 힘을 발휘하지 못한 것은 7월 8일 본격적으로 시작된 악성코드 유포 차단 작전 등의 결과였다. 악성코드 유포 차단으로 숙주사이트 529건 정도가 차단된 바 있었다.

최초 1~3차 공격으로 피해를 본 백악관과 국방부를 포함한 14개 미국의 웹사이트는 7곳의 ‘.gov’ 도메인 사용 사이트와 7개의 ‘.com’ 도메인 사용 사이트였다. 대한민국의 경우, 약 3일간의 4~6차 공격으로 21곳의 기관이 피해를 봤다.

대표적으로 청와대(현 대통령실)와 국방부, 국정원의 국가사이버안전센터, 한나라당(현 국민의힘) 등 공공기관과 함께 네이버·다음과 같은 포털 사이트, 전자상거래 업체 옥션, 그리고 신한은행·외환은행·조선일보 등 금융기관·언론사가 큰 피해를 봤다.

이들 피해 사이트들은 최소 24시간, 최대 72시간 동안 접속 장애를 겪었다. 일부 PC의 하드디스크에 대한 손상 등 피해도 보고됐다. 이들의 피해는 천문학적인 영업 손실과 복구비용부터 계산할 수 없는 무형의 신뢰도 하락에 이르기까지 엄청났다. 게다가 공격에 동원된 다수의 좀비 PC들도 피해를 당하였다.

▶일자별 디도스 공격 피해 사이트

구분	일자	디도스 공격 피해 사이트	소계
4차	7월 7일 오후 6시~ 7월 8일 오후 6시	청와대,국방부	옥션,조선일보,네이버(메일)		외교통상부,국회,한나라당,농협,신한은행,외환은,네이버(블로그)	12
5차	7월 8일 오후 6시~ 7월 9일 오후 6시	청와대,국방부	옥션,조선일보,네이버(메일)	전자민원G4C, 다음(메일),파란(메일),국민은행	기업은행,하나은,우리은,국가사이버안전센터,알툴즈,안철수연구소	15
6차	7월 9일 오후 6시~ 9시		옥션,조선일,네이버(메일)	전자민원G4C, 다음(메일),파란(메일),국민은행		7

━

1단계: 사이버 좀비 군대 구축 작전

━

7·7 디도스 공격은 다음과 같은 방식의 세 단계 작전으로 이루어졌다.

헤커가 봇을 통해 디도스 공격을 일으키는 방법을 보여주는 그래픽. Cloudflare

<이미지를 클릭하시면 크게 보실 수 있습니다>

1단계는 은밀한 침투를 통한 사이버 좀비 군대를 구축하는 단계다. 2009년 7월 4일부터 10일까지 대부분 대한민국에 속한 11만 5000여 개의 IP 주소에 공격 트래픽이 발생했다. 이들 트래픽은 자발적으로 발생한 것이 아니라 공격자의 은밀한 작전에 걸려들어 소유주도 모르게 엄청난 공격에 동원된 좀비 PC였다.

대한민국의 평범한 사람들이 소유한 PC가 당시 유행하던 웹하드 서비스를 통해 좀비 PC로 둔갑했다. 공격자는 서울과 부산 소재의 웹하드 업체 두 곳의 서비스 서버에 침투해 웹하드 프로그램 업데이트 파일에 악성코드를 심어뒀다.

악성코드는 웹하드에 접속한 일반 사용자가 자신이 평소 사용하는 웹하드 서비스에 접속 후 프로그램 업데이트를 수행하는 과정에서 자동으로 그들의 PC에 있는 msiexec.exe를 감염시켰다. 최초 감염을 일으킨 msiexec.exe 파일은 마이크로소프트의 운영체제인 Windows 구성요소 중 설치(install)와 관련된 정상적인 파일로 C:\Windows\system32 경로에 존재하고 있다.

감염된 PC의 msiexec.exe는 공격자가 사전에 준비한 명령제어 서버(Master)로 연결돼 PC에 추가로 msiexec1.exe, msiexec2.exe, msiexec3.exe 파일을 내려받게 했다. 세 개의 파일은 감염된 좀비 PC에서 실행돼 임시 폴더인 Temp 폴더에 모두 zlib이라는 압축 파일 형태로 되어 있는 ‘_S3.tmp’ 파일부터 ‘_S9.tmp’ 파일까지 생성했다. 이들은 악성코드의 명령에 따라, 각기 다른 이름으로 C:\Windows\system32에 복사된다. 복사된 파일 중 일부는 네트워크와 관련된 정상적인 파일이지만, ‘uregvs.nls’, ‘wmiconf.dll’, ‘vme.bat’, ‘wmcfg.exe’ 등의 악성 파일은 디도스 공격 시 각기 다른 역할을 했다.

━

2단계: 치밀하고 정교한 디도스 공격 작전

━

2단계는 명확한 목표를 대상으로 한 치밀하고 정교한 디도스 공격 작전의 실행이었다.

첫째로 그 시작은 uregvs.nls 파일로부터였다. 그 파일은 공격 대상, 그리고 공격 시작과 종료 시점에 관한 정보를 담고 있었다. 이번 공격을 분석한 국내의 한 사이버 보안기업은 각기 다른 공격 대상 리스트, 공격 시작과 종료 시점을 가진 총 5가지 uregvs.nls이 존재한다고 밝혔다.

예를 들어 msiexec2.exe가 생성한 uregvs.nls가 담고 있는 공격 리스트에는 미국의 백악관부터 대한민국의 청와대 등 총 36곳의 웹사이트 주소가 포함돼 있었다. 본 공격 리스트는 2차 공격 이후 7월 9일 발표된 1ㆍ2차 공격 리스트 및 3차 공격 예상 리스트와 일치했다.

▶msiexec2.exe가 생성한 uregvs.nls에 담겨 있는 공격 리스트

미국(23곳)	대한민국(13곳)
www.whitehouse.gov travel.state.gov www.dhs.gov www.dot.gov www.faa.gov www.ftc.gov www.nsa.gov www.state.gov www.usps.gov www.ustreas.gov www.voa.gov www.defenselink.mil www.usauctionslive.com www.washingtonpost.com www.yahoo.com finance.yahoo.com www.nyse.com www.amazon.com www.nasdaq.com www.usbank.com www.voanews.com www.marketwatch.com www.site-by-site.com	www.president.go.kr www.hannara.or.kr www.mnd.go.kr www.mofat.go.kr www.assembly.go.kr mail.naver.com banking.nonghyup.com blog.naver.come bank.keb.co.kr ezbank.shinhan.com www.auction.co.kr www.chosun.com www.usfk.mil

두 번째로 wmiconf.dll 파일은 디도스 공격 시 트래픽을 발생시키는 역할을 한다. 이것이 디도스 공격을 실행하는 파일이었다. wmiconf.dll은 “WMI Performance Configuration”이라는 이름으로 miconfig를 Windows 서비스에 등록하고 3분간의 대기시간을 갖는다. 3분의 대기시간 종료 후 wmiconf.dll은 앞서 설명한 uregvs.nls에서 공격 목표 대상을 읽어온 다음 지정된 대상에 대하여 디도스 공격을 수행했다.

결국, 북한 연계 해커인 라자루스가 감염한 수많은 좀비 PC는 실행 파일에 의해 정상적인 PC와 달리 엄청난 양의 트래픽을 발생했고, 그에 따라 공격받는 웹사이트에서도 엄청난 네트워크 트래픽이 발생했다. wmiconf.dll 외에도 perfvwr.dll도 동일한 기능을 수행했다.

━

3단계: 꼬리 자르기 작전

━

마지막으로 공격의 완성은 자취를 남기지 않기 위한 꼬리 자르기 작전이었다. 이는 공격자가 추적과 제재의 회피부터 공격의 의도와 대상, 그리고 자신의 능력 등을 숨기기 위한 기본적인 꼬리 자르기 행위였다. 앞선 두 개의 파일과 달리, vme.bat는 내려받은 악성 파일들의 삭제를 담당했다.

쉽게 말해, vme.bat은 msiexec.exe 계열의 파일들과 C:\Windows\system32에 복사된 uregvs.nls, wmiconf.dll, wmcfg.exe 등 모두를 삭제하는 역할을 맡고 있으며, 모두 지워질 때까지 삭제 작업을 반복 수행했다. 심지어 다른 파일들이 모두 삭제되면, vme.bat 자신도 삭제시키도록 프로그래밍이 돼 있었다.

최초 C:\Windows\system32에 복사된 4개의 파일 중 마지막 소개할 wmcfg.exe 파일은 감염된 PC의 하드디스크 손상까지 노렸다. 최초 msiexec1.exe에 의해 생성된 wmcfg.exe는 다수의 시스템으로부터 flash.gif 파일을 다운로드해오는 mstimer.dll을 생성시켰다. 다운로드된 flash.gif 파일은 겉으로는 확장자(gif)가 그림 파일이지만, 내부적으로는 정상 파일과 실행 파일로 구성되어 있고, 이 중 실행 파일 부분만 작동하여 wversion.exe를 생성시킨다.

여기서 wversion.exe는 mstimer.dll에 의해 특정 조건인 예약된 시간 2009년 7월 10일 00시를 만족할 시 문자열 A~Z까지의 모든 하드디스크의 물리적인 처음 시작 위치부터 ‘Memory of the Independence Day’ 문자열 데이터를 삽입하여 MBR(Master Boot Record) 및 파티션 정보를 삭제시킨다.

여기서 등장한 문자열 데이터 ‘Memory of the Independence Day’는 ‘독립기념일의 기억’으로 직역할 수 있다. 게다가 공격은 미국을 대상으로 최초 7월 4일 시작된 바 있다. 이러한 증거는 북한 연계 해커 조직인 라자루스가 미국의 독립기념일을 노린 계획된 사이버 공격임을 만천하에 드러내고 있다.

한편, 이러한 파괴가 일어나기 전 *.ppt, *.xml, *.doc 등의 중요한 확장자를 검색한 후 이들을 *.zip, *.zoo 및 *.arc 등의 압축 파일로 만든다. 이때 압축 파일은 숫자와 알파벳이 혼합된 8자리의 암호가 설정되어 잠겨버린다. 피해자는 의도치 않게 좀비 PC가 되어 공격에 동원된 자신의 PC 내에 있는 암호화된 파일을 열어볼 수 없게 됐다.

한편, 이러한 파괴 과정 때문에 악성코드에 감염돼 디도스 공격에 동원된 좀비 PC는 최종적으로 정상적인 부팅이 되지 않는 상황에까지 이르게 되었다. 즉 좀비 PC는 공격자가 목표로 설정한 웹사이트의 마비를 유도하는 디도스 공격이라는 범죄에 의도치 않게 투입됐고, 이후 공격 종료 시점에 맞춰서는 공격에 관한 증거 지우기 과정 때문에 자신을 파괴하는 손해까지 입었다.

━

작은 습관의 중요성

━

2009년 7·7 디도스 공격은 북한이 정찰총국 소속 해커 조직 라자루스를 일으킨 최초의 대규모 사이버 공격이란 상징성과 앞으로 북한이 사이버 수단을 통해 대한민국을 비롯한 전 세계 모든 국가의 안보를 위협할 수 있다는 것을 보여준 사건이었다. 그 수행 과정은 15년이 지난 지금 시점에도 유효함을 알 수가 있다.

한국인터넷진흥원 인터넷침해대응센터 종합상황실에서 직원들이 '사이버 위협 현황 모니터'를 주시하고 있다. 중국 대륙에서 실시간으로 국내에 유입되고 있는 디도스 및 악성코드가 모니터에 그려지고 있다. 이 시스템은 지난 2009년 7월 7~9일 북한의 디도스 공격 이후 새롭게 마련한 시스템이다. 으로 전세계에서 유입되는 디도스 공격 및 악성코드 유입현황을 실시간으로 모니터링 할 수 있다. 중앙포토

<이미지를 클릭하시면 크게 보실 수 있습니다>

과거나 현재나 해커들은 똑같이 평소 보안에 관심 없거나 취약한 기업의 서비스를 이용해 평범한 인터넷 사용자의 부주의를 틈타 그들의 PC를 좀비 PC로 만든다. 이들 좀비 PC는 해커의 통제에 따라 서로 모여 하나의 일사불란한 대규모 봇(bot) 부대가 되어 공공과 민간의 웹사이트에 대규모 서비스 장애를 일으킨다.

일차적으로 기업은 자신들이 서비스가 북한과 같은 악의적 행위자에게 악용되지 않도록 보안에 신경 써야 한다. 또한, 평범한 개인은 자신의 PC와 스마트폰 등의 IT 기기를 안전하게 관리하는 습관을 지녀야 한다. 그렇지 않으면, 그들의 IT 기기는 언제든 북한의 해커 조직 등과 같은 악의적 행위자에게 탈취돼 사이버 공격에 사용될 수 있다.

디지털 시대의 국가 안보를 위해 일반인들은 특별한 기술을 배울 필요는 없지만, 자신이 사용하는 IT 기기의 꾸준한 보안 업데이트, 유해한 사이트 접속하지 않기, 그리고 수상한 이메일의 첨부파일 다운로드 피하기 등의 기본적인 생활 습관이 필요하다.

박동휘 육군3사관학교 군사사학과 부교수

▶ 중앙일보 / '페이스북' 친구추가

▶ 넌 뉴스를 찾아봐? 난 뉴스가 찾아와!

ⓒ중앙일보(https://www.joongang.co.kr), 무단 전재 및 재배포 금지