공격않는 대가 거액요구 빈발
中서버 통해 무차별 공격
예방책 없어 손쉬운 먹잇감

온라인 쇼핑몰 업체를 운영하는 장준기(41ㆍ가명) 사장은 얼마 전 황당한 일을 당했다. 자신의 휴대폰에 “디도스(DDoSㆍ분산서비스거부) 공격을 당하지 않으려면 현금 500만원을 계좌로 보내라”는 협박전화가 걸려왔다. 처음에는 장난인지 알았다. 코웃음을 쳤고, 무시했다. 

그리고 1주일 뒤, 회사 직원으로부터 긴박한 전화를 받았다. 홈페이지가 먹통이 됐다는 것이다. 순간 장 사장은 ‘아차’ 했다. ‘디도스 공격’이라는 게 그거였구나 하고 무릎을 쳤다. 이후 다시 장 사장의 휴대폰이 울렸다. “다시 말하는데, 500만원을 입금하지 않으면 다시 공격을 하겠다”는 목소리가 들렸다. 장 사장은 고민 끝에 목소리의 주인공이 불러준 계좌로 현금 500만원을 보냈다.

“경찰에 신고하면 ‘다 끝장’이다. 중국에 있는 서버로 지속적으로 공격하겠다. 경찰도 우리를 잡을 수 없다”는 말에 눈을 찔끔 감고 송금하고 말았다.

중소기업과 중소형 인터넷 쇼핑몰 등이 디도스 공격에 멍들고 있다. 대기업은 다르다. 인터넷 보안이 몇 단계로 이뤄져 있어 웬만한 디도스 공격은 막을 수 있다. 그러나 보안 개념이 취약한 중소기업, 중소형 인터넷 쇼핑몰은 무방비다. ‘디도스 리스크’에 노출돼 있는 셈이다. 공격하겠다고 나서면 그냥 당할 수밖에 없는 상황이다.

디도스 공격 유형은 중국 등지에 좀비 컴퓨터를 놓고 수천 대의 PC가 일제히 한 서버를 공격하는 방식이다.

서울지방경찰청 사이버수사대가 21일 적발한 디도스 공격에는 모두 6000대의 PC가 동원됐다. 6000 대 1의 싸움에서 이길 수 있는 중소기업, 중소형 쇼핑몰 서버는 없다. 당한 다음에는 속수무책이다. 적절히 디도스 공격을 피할 수 있는 법을 모른다.

국내 대표적 남성 인터넷 쇼핑몰 업체인 M사의 서버는 디도스 공격으로 모두 3시간 40분 동안 서버가 ‘사망’ 상태에 빠졌다. M사를 공격한 일당은 모두 2000만원을 요구했다. 그러나 M사는 거부했고, 급기야 디도스 공격을 받은 것.

그동안 온라인 도박 사이트나 소위 ‘짝퉁’을 판매하는 인터넷 쇼핑몰의 경우 자주 디도스 공격을 받았다. 불법을 저지르고 있으니 불법적 요구를 들어줄 수밖에 없다.

그러나 합법적으로 세금을 내면서 사업을 하는 중소기업이나 인터넷 쇼핑몰 업체의 경우에는 현금을 주자니 불법을 묵인해야 하고, 그냥 놔두자니 디도스 공격에 노출돼 홈페이지가 다운되는 최악의 사태가 발생할 수 있어 고민일 수밖에 없다.

단순 ‘협박형’ 디도스 공격 외 경쟁자 제거형 디도스 공격도 늘어나고 있다. 서울시장 선거 때 박원순 시장의 홈페이지 디도스 공격이나 이날 검거된 피의자들처럼 경쟁자의 사주를 받고 디도스 공격을 한 케이스 등도 있다.

‘디도스 방어 전문가 및 피해자 모임’ 사이트를 운영하는 박상수 나노아이티 이사는 “의류 쇼핑몰 업자나 인터넷 강의 사이트 운영자들이 주 타깃이 되고 있다”면서 “소규모 사업자도 적극적인 대응책 마련이 필요하다”고 주문했다.

김재현 기자/madpen@heraldcorp.com