[디지털데일리 이유지기자] 지난 2009년 7.7 분산서비스거부(DDoS) 공격이 발생한 지 1년 8개월만에 청와대 등 국내 주요 웹사이트를 대상으로 한 공격이 발생했다.
방송통신위원회, KISA(한국인터넷진흥원), 안철수연구소와 관련기업 등에 따르면, 3일과 4일 발생한 DDoS 공격은 7.7 DDoS 공격과 유사한 형태를 띠고 있다.
2009년 당시와 마찬가지로 악성코드를 유포해 수많은 PC를 좀비PC로 만들어 공격을 가했으며, 금전적인 목적 등 뚜렷한 공격 목적이나 이유도 찾기 힘든 상황이다.
3일 오전 발생한 첫 공격에서는 7.7 공격 당시 대상이 됐던 23곳보다 많은 40개 사이트였으며, 4일에는 이 중 29곳만을 대상으로 공격이 가해졌다.
하지만 이날 오후 6시 30분 예정돼 있는 공격에서는 3일 대상이 됐던 40개 사이트를 타깃으로 또다시 공격이 발생할 것으로 예상되고 있다.
공격자는 국내 P2P 사이트인 셰어박스와 슈퍼다운을 해킹해 악성코드를 유포한 것으로 파악됐다. 공격에 악용된 악성코드에 감염된 PC는 이른바 ‘좀비PC’가 돼 특정 웹사이트를 공격한다. KISA는 4일 공격에 악용된 좀비PC 수가 1만1000여대로 분석했다.
DDoS 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다.
이들 공격용 악성코드는 사용자PC를 감염시킨 후 호스트 파일변조를 통해 V3, 알약 등 백신 업데이트를 방해한다.
때문에 반드시 안철수연구소 등 보안업체와 KISA가 보호나라(www.boho.or.kr) 사이트 등에서 제공하는 전용백신으로 치료해야 한다.
KISA는 현재 ISP와 협조해 감염PC를 대상으로 팝업창을 통해 감염사실과 함께 안철수연구소, 하우리에서 개발한 전용백신을 다운로드하도록 안내하고 있다.
더욱이 공격용 악성코드 중 일부에는 하드디스크를 손상시키고 데이터를 파괴하는 등 개인 PC에 치명적인 손상을 일으키도록 설정돼 있다. 이 점에서 7.7 DDoS 공격 당시 이용된 악성코드와 유사하다.
파괴 시점은 악성코드 감염된 시점부터 7일 이후로 돼 있는 것으로 KISA는 분석하고 있다.
KISA 인터넷침해대응센터 관계자는 “3일 발생한 최초 공격에서는 좀비PC와 공격 트래픽이 비교적 많지 않았지만 관계기관, 보안업체들과 공조해 악성코드를 분석한 후 공격 대상사이트인 40곳에 알려 대응조치를 취하도록 했다”며, “초기 대응은 신속하게 이뤄졌지만 오후 6시30분 공격이 예정돼 있는 만큼 계속 상황을 지켜봐야 한다”고 설명했다.