악성코드 첫 입수는 KT..백신제조 기여

 

분산서비스거부(DDoS) 공격으로 인한 사이버테러 대응 과정에서 KT가 처음으로 악성코드 파일을 추출해냈던 것으로 나타났다.

정창송 부장이 이끄는 KT 망관제센터 보안관제태스크팀은 지난 7일 1차 DDoS 공격 당시 국내에서 처음으로 악성코드 실행파일을 확보, 보안업체에 전달해 치료 백신을 만들도록 했다.

다른 기관들이 대응조치에 부심하고 있을 때 정 부장의 정확한 판단으로 그나마 피해를 줄일 수 있는 여건이 마련된 셈이다.

당시 정 부장은 청와대 등 한국과 미국의 22개 사이트에서 과다 트래픽이 발생하는 것을 확인하고 트래픽을 초래하고 있는 100여개 `좀비PC'의 IP를 입수하고 악성코드 샘플 확보에 나섰다.

1시간30분여의 설득 끝에 정 부장은 당일 오후 10시5분 울산과 용인의 두 고객으로부터 악성코드 추출을 승낙받고 원격 접속을 통해 40분 만에 `svchost.exe'이라는 악성코드 파일을 추출해냈다.

평상시엔 정상 파일로 활동하다 악성코드가 붙여져 비정상적인 트래픽 공격을 유발하고 있는 파일이었다.

정 부장은 "입수한 악성코드의 동작 과정을 분석해보니 명령을 내리는 숙주 서버가 나타나지 않아 우리가 처리할 방법이 없었다"며 "그래서 감염된 IP나 PC를 찾아서 치료해줄 수밖에 없다고 판단하고 보안업체에 전달키로 했다"고 말했다.

이에 따라 KT 보안관제팀은 8일 오전 1시께 안철수연구소와 이스트소프트에 메일로 악성코드 샘플을 전달했다.

두 보안업체가 밤새워 이 악성코드를 치료할 백신 프로그램 마련에 매달렸음은 물론이다.

KT 망관제센터는 또 1차 공격 당시 오전 3시께 VIP 고객인 주요 기관의 회선에 DDoS 전용 대응장비를 부착, 공격을 차단했다. 해당 기관의 사이트는 다음날 별다른 문제가 발생치 않았다.

정 부장은 "이번 DDoS 공격은 과거와는 달리 여러 개의 사이트를 시간차로 공격했었기 때문에 숨돌릴 여유가 없었다"고 전했다.

그는 인터넷서비스사업자(ISP)로서 이 같은 사이버공격에 대비하기 위해서는 KT가 PC방에 'MEPS'라는 외부공격 차단 프로그램을 무료로 배포한 것처럼 관리가 취약한 PC에 비정상적 공격 트래픽을 막는 프로그램을 보급하고 기업 및 공공기관의 IP 서버는 네트워크접근제어(NAC) 솔루션 사용을 의무화할 필요가 있다고 제안했다.

KT는 이밖에도 2차 공격 이후 감염PC 고객 8천590명에 이어 670만명의 전 고객에게 백신 치료를 요청하는 팝업 공지문을 띄우는 한편 현장수리요원 7천700명, IT서포터즈 400명을 출동시켜 감염 PC 치료에 나섰다고 전했다.

/연합