이번 사이버테러 사태에서 분산서비스거부(DDoS) 공격과 한 축을 이룬 PC 파일 파괴 공격이 힘을 발휘하지 못한 데 대해 보안전문가들의 해석이 분분하다.

파일을 파괴하는 악성코드가 작동되는 조건이 제한적인 점이 손상된 PC가 적은 이유로 분석되자, 이 같은 조건 설정에 대해 해커 측의 실수이냐, 아니면 계획된 것이냐는 등 전문가들의 분석이 엇갈린다.

파일 파괴가 발생하는 PC 환경은 윈도 비스타, 닷넷 프레임워크(.NET Framework)가 설치된 윈도 2000/XP/2003에 msvcr90.dll 파일이 존재하는 경우만이다.

이 파일은 고급 게임 이용자나 비주얼 프로그램 이용자 등에만 깔려, 일반적인 PC에 설치됐을 확률은 낮다.

우선 '실수론'을 제기하는 전문가들은 일부 PC 이용자들만 사용하는 환경에서 작동하도록 한 것 자체가 실수라고 주장한다.

여기에는 악성코드에 DDoS 공격뿐만 아니라 파일 파괴 프로그램도 깔아놓은 이유를 DDoS 공격에 이용된 좀비PC를 파괴해 증거를 없애기 위한 것이라는 전제가 깔려있다.

한 보안전문가는 13일 "이번 공격의 마지막 날인 11일부터 파일 파괴가 시작되도록 활동 시간대를 설정해 놓은 것을 볼 때 증거를 전파 경로에 대한 분석 샘플이 될 수 있는 좀비PC를 모두 파괴하려 한 것으로 보인다"고 말했다.

그런데 이 프로그램을 설계하는 과정에서 실수로 고급환경에서만 구동되도록 잘못 설정해놓아 원래 계획이 엉클어졌다는 것이다.

'계획론'은 DDoS 공격이 멈춘데다 PC 파일 파괴 공격으로 인한 피해도 적다면, 정부 측과 보안업계가 긴장을 풀 것으로 보고 이 때 재공격을 감행하려는 속셈이 아니냐는 논리다.

물론 미처 분석이 안된 숨겨진 파일이 일정 시간 뒤에 활성화될 수 있다는 가정 아래 성립된 추측이다.

다른 보안전문가는 "정부와 업계의 전문가들이 악성코드를 블랙박스 조사 등을 통해 면밀히 분석했지만, 최악의 경우 분석되지 않은 공격 파일이 남아 있을 가능성도 있다"면서 "보안업계가 안도의 한숨을 쉬는 틈을 타 공격하려는 시나리오가 아니냐고 상상해볼 수도 있다"고 말했다.

KISA 측에서는 이 경우를 계속 염두에 두고 있지만, 현재로서는 추가로 발견하지 못한 공격 파일이 나올 가능성은 희박한 상황이다.

이밖에 고급 환경에서 PC를 이용하는 전문가들이 악성코드 유포 경로를 추적하는 것을 막기위해 이 같은 설정을 했다는 해석도 나온다.

그러나 이 가능성은 논리적으로 성립되기 어렵다고 전문가들은 대체로 입을 모았다.

경로 추적을 할 수 있는 정도의 실력을 가진 이용자라면 기본적으로 백신 프로그램 정도는 설치해놓을 가능성이 높아 애초 감염될 확률이 낮을 것이라는 설명이다.

에스지어드밴텍 최재혁 바이러스대응팀장은 "프로그램 언어를 어떤 것으로 설정했느냐에 따라 악성파일의 구동 환경이 달라질 수 있다"면서 "일부러 이 같은 설정을 해놓았는지, 계획적인지는 지금으로서는 판단하기 어렵다"고 말했다.

(서울연합뉴스) 이광빈 기자 lkbin@yna.co.kr