디도스 공격 동원 '좀비PC' 하드디스크 파괴 시작

(아주경제 윤태구 기자) 지난 3일 디도스(DDoS, 분산서비스거부) 공격에 동원됐던 좀비 PC의 하드디스크 파괴가 6일 시작됐다.

정부와 보안업계에 따르면 당초 악성코드 감염 후 4일 혹은 7일이 지나면 해당 PC의 하드디스크를 망가뜨릴 것으로 예상됐던 것과 달리 이날 오전부터 좀비PC의 하드디스크 파괴가 시작됐다.

이는 악성코드가 명령서버로부터 2개의 새 명령을 내려받았기 때문이다.

새롭게 추가된 명령은 감염된 좀비 PC가 전용백신을 다운로드하지 못하도록 보호나라 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다.

특히 이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 지난 2009년 7·7 디도스 때와는 달리 명령을 받는 즉시 동작하도록 설정돼 있다.

좀비 PC의 하드디스크 파괴가 시작되자 이날 오전 행정안전부는 PC 사용을 자제하라는 내용의 공문을 각 부처에 전달했다.

방송통신위원회도 악성코드에 감염돼 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 이날 오전 국가사이버안전센터(NCSC)로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보하고 한국인터넷진흥원(KISA)과 주요 인터넷 서비스 제공자를 통해 긴급 차단했다.

이에 따라 누적 차단 IP 수는 총 729개로 늘어났다.

박철순 방통위 네트워크정책국 네트워크정보보호팀장은 “악성코드에 감염되면 백신치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 PC이용자는 우선 악성코드에 감염되지 않도록 주의해야 한다”며 “정보공유사이트 관리자도 웹서버해킹 탐지도구인 휘슬(WHISTL)을 사용해 악성코드를 탐지하고 삭제하는 것이 필요하다”고 말했다.

이어 그는 “이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7·7 디도스때와는 달리, 명령을 받는 즉시 동작하도록 설정, 하드디스크 파괴 명령이 하달되면 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시키기 때문에 국민들은 꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅하여 디도스 전용백신을 다운로드받아 안전한 상태에서 PC를 사용해야 한다”고 덧붙였다.