Alert after government sites hit by cyberattack

The Web sites of the Blue House and other key ministries and organizations were subject yesterday to a cyberattack by malicious computer codes that shut some of them down temporarily.

About 40 government Web sites, including those of the ministries of foreign affairs, unification and defense and the National Intelligence Service, were hit by a so-called distributed denial-of-service (DDoS) attack beginning on Thursday.

A DDoS attack involves directing a sudden and giant data traffic surge to its target, which overwhelms the site’s servers and makes it hard for people to access the site.

The Blue House acknowledged the assaults but denied any damage.

“Considering that the Blue House’s tolerance level for a cyberattack is 100, the attacks that occurred [in the past two days] were less than the 1 percent range,” said Kim Hee-jung, a Blue House spokeswoman.

The latest assault was carried out using malicious codes that turn personal computers into zombie computers, according to AhnLab, a leading local computer security company.

The latest attack is similar to one in July 2009 that affected the Web sites of 17 Korean government and companies and lasted three days.

Although the attack has only led to temporary shutdowns at some sites, the Korea Communications Commission issued a “warning-level” alert yesterday. It is the third-highest of four alert levels.

“We are currently working to collect and analyze the malicious codes that triggered the DDoS attack, as well as determining who was behind it and preventing further damage,” the commission said in a statement.

The KCC expects another wave of attacks to occur at 10:45 a.m. today and encourages all Internet users to download antivirus software from the Web sites www.boho.or.kr and www.krcert.or.kr and inspect their PCs.

Among the organizations affected by the attack were the National Assembly, U.S. Forces Korea, the five leading banks, securities companies and major Internet portals.

Industry sources say that the size of the attack was significantly smaller than the July 2009 attack. The Korea Internet Security Agency said that the number of zombie PCs involved in the attack was around 21,000 as of yesterday - much smaller than the 115,000 that participated in the July 2009 attack.

The KISA, however, said that the number of zombie companies has surged from just 720 on Thursday.

Industry sources say the malicious codes were distributed through a peer-to-peer file sharing site called Sharebox. But the attacker’s identity and motive have not yet been determined.

By Kim Hyung-eun [hkim@joongang.co.kr]

Related Korean Article[중앙일보]
2년 만의 디도스 공격 … 북한 소행?
어제 두 차례 … 피해 적어

4일 청와대·국방부·국가정보원 등 국내 주요 정부기관과 국민은행·네이버 등 기업들의 웹사이트 40곳이 분산서비스거부(디도스·DDoS) 공격을 받았다. 앞서 3일 오전에도 국방부·통일부 등 6개 정부기관이 공격당했다. 하지만 큰 피해는 없었다. 이번 공격은 2009년 7월 7일 청와대·백악관 등 한국·미국의 주요 웹사이트 25곳이 마비됐던 일명 ‘7·7 디도스 대란’과 유사하다. 디도스 공격이란 특정 사이트를 공격해 정보를 빼가거나 접속을 마비시키는 것으로 평소에도 수시로 발생한다. 그러나 정부 주요 기관과 기업을 동시 공격한 것은 2009년 7월 이후 처음이다.

　공격을 유발한 악성코드의 출처는 국내 파일공유(P2P) 사이트인 ‘셰어박스’와 ‘슈퍼다운’으로 파악됐다. 방송통신위원회는 이번 공격에 동원된 좀비PC가 1만3000여 대라고 밝혔다. 7·7대란 당시엔 그 수가 11만5000대에 달했다. 정부는 4일 오전 10시를 기해 사이버 위기 ‘주의’ 경보를 발령했다. 5일 오전 10시45분에도 29개 사이트에 대한 추가 공격이 예상된다.

　방통위는 “PC가 악성코드에 감염되는 것을 막으려면 기존 백신 사용자를 포함한 모든 인터넷 이용자들이 전용 백신을 내려받아야 한다”고 당부했다. 보호나라(www.boho.or.kr)나 인터넷침해대응센터(www.krcret.or.kr) 사이트에서 이를 내려받거나 24시간 무료 상담센터(국번 없이 118)에 전화해 상담원의 도움을 받을 수 있다.

　일각에선 이번 공격이 북한 소행이 아닌지 의심하고 있다. 7·7 대란 때도 북한의 사이버테러라는 의견이 있었지만 결론은 내리지 못했다.