보안업체 안랩은 지난 25일 청와대, 언론사, 국정원, 특정 정당의 웹사이트를 겨냥해 발생한 해킹이 다른 사이트에 접속만해도 공격이 시작되는 새로운 유형의 분산서비스거부(디도스)공격이라고 26일 밝혔다.
안랩은 이날 해킹 분석 결과를 발표하고 이번 정부기관에 대한 디도스 공격은 ▲악성 스크립트를 이용한 새로운 디도스 공격과 ▲악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식이 혼재되어 있다고 밝혔다.
이 중에 청와대, 국정원, 새누리당 웹사이트는 악성 스크립트 방식의 새로운 디도스 공격을 받았다. 악성 스크립트 방식 디도스 공격은 기존 좀비PC를 이용한 공격과 달리 공격자가 악성 스크립트를 미리 설치해놓은 웹사이트를 사용자들이 방문하면 미리 설정해놓은 특정 웹사이트로 트래픽(접속량)을 몰리게 해 다운시키는 방식이다.
또 다른 보안업체 잉카인터넷는 악성 스크립트 방식 디도스 공격의 근원지를 보수성향의 인터넷 커뮤니티인 ‘일간베스트 저장소’(일베)를 지적했다. 사용자들이 ‘일베’ 웹사이트에 접속하는 순간, 청와대와 국정원, 새누리당 웹사이트로 접속량이 급증하면서 웹사이트가 정상적으로 작동하지 않게 됐다는 것이다.
한편 새누리당 서울, 부산, 인천, 울산 지역 시도당 웹사이트와 정부통합전산센터의 도메인네임서비스(DNS) 서버는 악성코드에 감염된 좀비PC방식의 기존 디도스 방식으로 공격을 받았다.
안랩에 따르면 공격자는 25일 9시부터 특정 웹하드의 설치·업데이트 파일에 악성코드를 심어, 개인 사용자 컴퓨터를 좀비PC로 만들었다. 그리고 25일 오전 10시에 좀비PC가 특정 서버(정부통합전산센터)를 공격하도록 명령을 내렸다. 정부통합전산센터의 DNS서버는 웹사이트 이용자들이 정부 기관의 주소를 입력하면 이를 웹사이트로 연결해주는 기능을 하는데, 이 서버가 공격을 받아 일부 정부 기관 웹사이트들의 접속이 정상적으로 이뤄지지 못한 것으로 알려졌다.
안랩은 “새누리당 시도당 웹사이트의 경우 웹서버의 보안패치가 미리 적용되어 영향이 미미했다”고 덧붙였다.