최근 국내외에서 디도스(DDoS) 공격이 잇따라 발생하면서 디도스 공포가 다시 떠오르고 있다. 전문가들은 유사한 사건이 추가로 발생할 수 있다고 보고 있어 대책 마련이 시급하다는 지적이다.

27일 보안업계에 따르면, 한국인터넷진흥원(KISA)은 최근 인터넷침해사고대응지원센터를 통해 사물인터넷(IoT) 기기를 대상으로 한 ‘미라이(Mirai)’ 봇넷 주의를 당부했다.

KISA는 미라이 악성코드에 IoT 기기가 감염될 경우 디도스 공격에 악용될 수 있어 사용자 주의가 필요하다고 지적했다. KISA에 따르면, 미라이 악성코드는 관리자 계정 설정이 취약한 IoT 단말에 접속해 초기 설정 비밀번호로 로그인을 시도한 후 악성코드를 전파한다.

디도스는 트래픽을 폭주시켜 서비스를 마비시키는 공격으로, 과거부터 널리 이용된 공격 방식이다. 대표적인 것이 2009년 7.7 디도스 공격이다. 디도스 공격은 지금도 계속되고 있지만 보안기술 개발로 서비스가 중단되는 상황까지 가는 경우는 줄어들고 있다. 그런데 최근 디도스 위협이 다시 부상하고 있다.

KISA가 미라이 악성코드를 우려하는 것은 최근 IoT 디도스 공격 때문이다. 외신들에 따르면, 지난달 말 프랑스 호스팅 서비스 업체인 OVH를 대상으로 초당 1.5테라비트(Tbps) 규모의 디도스 공격이 발생했다. 외신들은 해커가 CCTV, IP카메라 등 15만 대의 IoT 기기를 동원해 대규모 규모의 트래픽을 발생시켰다고 설명했다.

프랑스 사건에 이어 이 달 초에는 KISA가 경고한 미라이 악성코드 소스가 공개됐다. ‘안나 센파이’라는 닉네임의 해커가 온라인 해킹 커뮤니티를 통해 미라이 소스코드를 공개했는데 38만 대의 IoT 기기가 이 악성코드에 감염된 것으로 알려졌다. 전문가들은 소스 공개로 이 악성코드를 이용한 디도스 공격이나 이를 변조한 공격이 이어질 것을 우려하고 있다.

그리고 지난 21일 트위터, 아마존, 넷플릭스 등 미국의 1200여 개 웹사이트가 마비되는 사건이 발생했다. 해커들은 도메인네임서버(DNS)를 관리, 서비스하는 기업 딘(Dyn)을 대상으로 디도스 공격을 벌였다. DNS는 숫자로 된 홈페이지 주소와 단어 형태의 주소를 연계해주는 역할을 한다. DNS가 마비되면 기존에 알고 있는 사이트 주소를 입력해도 사이트에 접속할 수 없게 된다.

그런데 미국을 마비시킨 이번 디도스 공격에도 IoT 기기가 사용된 것으로 알려졌다. 26일 외신들은 이번 공격이 아마추어 해커에 의해 이뤄진 것으로 보인다고 보도해 미라이 등 악성코드를 이용했을 가능성이 높아지고 있다.

특히 미라이 악성코드에 한국 IoT 기기가 감염됐다는 분석도 있어 한국도 대규모 IoT 공격에 더 이상 안전지대가 아니라는 지적이다. 미국 보안업체 임퍼바 인캡슐라는 홈페이지를 통해 최근 미라이 봇넷을 분석한 결과 한국을 근원으로 하는 IP가 6.2%였다고 밝혔다. 이는 베트남, 브라질, 미국, 중국, 멕시코에 이어 6번째로 많은 수치다.

26일에는 한국에서도 디도스 공격이 발생해 긴장이 높아지고 있다. 더불어민주당 관계자는 “26일 오전에 공격이 있었다가 점심 무렵 다시 공격이 들어와 1시간 30분 정도 홈페이지가 마비됐고 KISA의 도움으로 사이트를 정상화했다”고 설명했다.

더불어민주당은 이번 공격에 대해 수사 의뢰를 검토하고 있다. 이번 사건은 최순실 게이트 등으로 민감한 상황에서 정치적 목적을 위해 이뤄졌거나 해커들의 장난일 가능성이 제기되고 있다.

전문가들이 최근 상황을 볼 때 국내외 해커들이 IoT 악성코드로 수 십 만대, 수 백 만대의 IoT 기기를 동원해 국내 사이트나 DNS 등을 공격할 수도 있다고 보고 있다.

한 보안 전문가는 “2009년 7.7 디도스 사건 당시 DNS 서버 공격을 우려했는데 다행히 발생하지 않았다”며 “하지만 지금 우려가 현실이 됐기 때문에 대비가 필요하다”고 지적했다.

또 다른 전문가는 “IoT 해킹과 공격이 국내에서 발생하는 것은 시간 문제”라고 우려했다.

정부에서도 대책 마련을 서두르고 있다. 미래창조과학부는 9월 28일 IoT 제품과 서비스의 기본적인 보안성 확보를 지원하기 위한 `IoT 공통 보안 가이드`를 발표했다. 또 '2017년도 인터넷주소지원 서비스 기능개선 및 운영계획'에 따르면, KISA는 내년에 국내외 DNS에 대한 사이버공격 유형을 조사해 DNS에 특화된 모니터링 시스템을 개발하는 등 대응체계를 고도화할 방침이다. KISA는 DNS 서버 점검을 확대하고 주요 도메인 변조 모니터링 시스템도 구축할 예정이다.

[테크M = 강진규 기자(viper@techm.kr)]