특집

DDoS 전용백신 설치 방해·하드디스크 즉시 파괴 새 명령 하달

디지털데일리 발행일 2011-03-06 11:11:34
이유지 기자
- 긴급 PC안전 수칙 발표 “PC 켤 때 안전모드 시작”

[디지털데일리 이유지기자] 분산서비스거부(DDoS, 디도스) 공격용 악성코드가 이번엔 전용백신 설치를 방해하고 하드디스크를 즉시 파괴하도록 시도하고 있어 사용자 주의가 요구된다. 

방송통신위원회는 악성코드가 명령서버로부터 보호나라(www.boho.or.kr) 등 전용백신 사이트의 접속을 방해하고 하드디스크를 즉시 파괴하는 두가지 새로운 명령을 다운로드 받도록 돼 있는 것으로 확인됐다고 6일 밝혔다.

이는 한국인터넷진흥원(KISA)이 안철수연구소가 확보한 악성코드 샘플을 공동으로 야간 작업을 통해 분석한 결과이다.
 
이에 따라 우선 악성코드에 감염된 좀비PC가 전용백신 사이트에 접속하지 못하게 될 경우에는 우회해서 접속할 수 있도록 한국인터넷진흥원(KISA)을 통해 조치했다. 

방통위는 악성코드에 감염돼 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 오늘 새벽 국가사이버안전센터(NCSC)로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보해 KISA와 ISP를 통해 긴급 차단했다. 누적 차단 IP수는 총729개이다. 

이제는 악성코드에 감염되면 백신 치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 PC 이용자는 우선 악성코드에 감염되지 않도록 주의해야 한다. 

따라서 악성코드 유포지로 활용되는 정보공유사이트에는 당분간 접속을 자제하는 것이 좋다. 정보공유사이트 관리자도 KISA의 웹서버해킹 탐지도구인 ‘휘슬(WHISTL)’을 사용해 악성코드를 탐지하고 삭제하는 것이 필요하다. 

이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7.7 DDoS 때와는 달리, 명령을 받는 즉시 동작하도록 설정이 돼 있다. 

하드디스크 파괴 명령이 하달되면 먼저 A~Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킨다. 

그리고, A~Z까지 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 된다.

꺼져있는 PC를 다시 켤 때는 반드시 안전모드로 부팅해 DDoS 전용백신을 다운로드해 안전한 상태에서 PC를 사용해야 한다. 

긴급 PC 안전 부팅 수칙
1) 네트워크 연결선(LAN선)을 뽑는다.

2) PC를 재시작한 후 F8을 눌러 (네트워크 가능한)안전모드를 선택해 부팅한다.

3) 네트워크를 재연결한 후 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속해 디도스 전용백신 다운로드

※ PC가 이미 켜져 있는 경우에는 전용백신 곧 바로 다운로드

4) DDoS 전용백신으로 악성코드 치료후 PC 재부팅

아울러 긴급 전용백신으로 치료가 완료됐더라도 변종 악성코드에 의한 공격으로 재감염될 수 있으므로 각별한 주의가 필요하다. 

PC 사용시엔 백신 제품을 최신 엔진으로 업데이트하고 실시간 감시를 동작시켜 재차 감염되는 것을 방지해야 한다.

현재, 방송통신위원회, 국가정보원, 행정안전부, KISA, 안철수연구소 등으로 민관 합동의 공동대책반을 구성해 DDoS 공격에 대응하고 있다. 

<이유지 기자>yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스