침해사고/위협동향

“6.25 사이버공격, 악성스크립트 방식의 새로운 디도스 공격”

디지털데일리 발행일 2013-06-26 08:35:00
이민형 기자
- 안랩, 청와대, 국정원, 새누리당 사이트 해킹 분석 발표
 
[디지털데일리 이민형기자] 지난 25일 일부 정부기관을 공격한 디도스(분산서비스거부, DDoS) 공격이 기존 좀비PC 공격과 달리 새로운 형태의 기법이 혼재된 것으로 밝혀졌다.

이번에 발견된 공격기법은 사용자가 악성스크립트가 설치된 웹사이트 방문시, 해커가 미리 설정해놓은 웹사이트로 공격을 시도한다.

26일 안랩(www.ahnlab.com 대표 김홍선)은 25일 일부 정부기관을 공격한 디도스(DDoS: Distributed Denial of Service, 분산 서비스 거부) 공격에 대한 분석내용을 추가 발표했다.

안랩은 청와대, 국정원과 새누리당 웹 사이트는 ‘악성스크립트 방식’의 디도스 공격을 받았고, 이는 국가적 대형 디도스 공격에 처음으로 사용된 기법이라고 밝혔다. 또한 안랩은 정부통합전산센터의 DNS(도메인네임서버)는 좀비PC를 사용한 기존 방식의 디도스 공격을 받은 것으로 확인했다.
 
‘악성스크립트 방식’ 디도스 공격은 기존 좀비PC를 이용한 공격과 달리, 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자들이 이 사이트를 방문하면, 미리 설정해놓은 웹사이트로 공격 트래픽을 발생시키는 방식이다.

안랩 분석결과, 사용자가 악성스크립트가 설치된 해당 웹사이트에 정상 접속(방문)하자, 공격자가 타겟으로 정한 청와대, 국정원과 새누리당 웹사이트로 트래픽이 발생하는 것을 확인했다.
 
한편, 정부통합전산센터 공격은 기존의 좀비 PC를 통한 디도스 공격 방식을 이용한 것으로 확인됐다. 공격자는 우선 25일 0시부터 특정 웹하드의 설치 파일과 업데이트 파일을 통해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC로 만들었다.

이후 25일 오전 10시에 좀비PC들이 특정 서버를 디도스 공격하도록 C&C서버(공격자가 악성코드에 명령을 내리는 서버)로 명령을 내린 것으로 확인됐다. DNS는 웹 사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는데, 이 DNS가 공격을 받아 일부 정부기관 웹사이트들의 접속이 원활하지 못했던 것이다.
 
공격자는 확보한 좀비PC를 이용해 정부통합전산센터에 있는 두 대의 DNS서버에 무작위로 생성한 방대한 양의 도메인 이름 확인요청을 일시에 보내는 ‘DNS 디도스 방식’으로 공격을 감행했다.

또한, 많은 좀비 PC로 특정 서버에 일괄 접속하는 일반적인 디도스 공격 방식이 아니라 요청하는 정보의 크기를 늘려서 서버에 부하를 주는 방식을 사용했다. 이 방식의 디도스 공격에 사용된 악성코드 분석 정보는 안랩 ASEC블로그(asec.ahnlab.com/949)에서 확인할 수 있다.
 
안랩은 정부기관 디도스 공격에 이용된 악성코드와 별도로 일부 언론사에 대한 디도스 공격 악성코드를 발견했다고 밝혔다. 또한 ‘하드디스크 파괴기능을 가진 악성코드’도 추가로 확인했다. 안랩은 해당 악성코드들에 대해서도 이미 엔진 업데이트 등 대응을 완료했으며 현재 상세 분석 중이다.
 
안랩은 “좀비PC를 이용한 기존 방식의 디도스 공격은 PC 사용자들이 백신업데이트 및 정밀검사를 통해 자신의 PC가 좀비화되지 않도록 관리하는 것이 무엇보다도 중요하다”며 PC사용자들의 주의를 당부했다. 안랩 V3는 현재 해당 좀비PC 악성코드를 모두 진단하고 있으며 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.

<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스