3.20 전산망해킹과 6.25사이버테러의 공통점과 차이점
- 가
- 가
- 공격기법의 다양화와 안티디버깅 기술 적용은 과거와 달라
[디지털데일리 이민형기자] 지난 3월 언론사·금융권을 대상으로 한 전산망해킹과 지난 25일 발생한 디도스 공격이 서로 유사한 점이 많은 것으로 조사됐다. 악성코드 로직(Logic, 논리)을 비롯해 배포, 설치방식 등이 3.20전산망해킹과 동일했다. 다만 스크립트 방식의 디도스 공격, DNS(도메인네임서버) 공격기법 사용 등은 새롭게 발견된 점이다.
◆“악성코드 유포방식, 로직 동일”=27일 최상명 하우리 팀장은 “지난 3.20 전산망해킹과 이번 디도스 공격은 동일한 조직에서 감행한 것으로 예상된다. 악성코드 유포방식, C&C(명령제어)서버의 위치 등이 3.20 전산망해킹 때와 일치했다”고 말했다.
이번 디도스 공격을 위해 공격자들은 아이스워프(Icewarp) 서버를 탈취해 C&C서버로 활용했다. 아이스워프는 메일솔루션으로 동명의 회사에서 개발했다. 이 메일서버는 지난 3.20 전산망해킹에서도 사용됐다.
최 팀장은 “공격자들은 모처에 있는 아이스워프 서버를 탈취해 C&C서버로 삼고 악성코드를 배포하고 이를 통제하는 수법을 사용했다. 지난달에 발견됐던 공격도 동일한 것으로 판단되고 있다”고 설명했다.
악성코드 배포방식도 종래와 유사하게 웹하드 클라이언트를 변조해 유포했다. 2009년 7.7디도스, 2011년 3.4디도스, 2013년 3.20 전산망해킹에도 비슷한 수법을 사용했다.
이에 대해 최 팀장은 “악성코드 유포방식은 과거 보안사고에서 발견됐던 방식과 거의 유사했으며, 특정 시간에 공격을 감행하도록 만든 점도 일치한다”고 전했다.
이번에 발견된 악성코드의 로직과 인스톨러(Installer) 역시 3.20 전산망해킹에 사용됐던 악성코드와 유사했다. 최 팀장은 “인스톨러는 공격자들이 자체적으로 개발한 것으로 3.20때도 사용됐고, 이번에도 사용됐다. 이는 공격의 주체가 동일하다는 것을 뜻한다”며 “또 악성코드에서 사용되는 로직 중 일부가 과거에 발견된 악성코드와 일치한다”고 말했다.
◆“공격기법의 다양화, 난독화 등 기술 적용”=하지만 과거와 달라진 점도 있다. 과거에는 특정 웹사이트를 공격해 서비스 장애를 유발했으나 이번에는 DNS(도메인네임서버)를 공격해 서비스 장애를 유발했다.
DNS는 웹 사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는데, 이 DNS가 공격을 받아 일부 정부기관 웹사이트들의 접속에 장애가 발생했다.
DNS 공격방식은 기존 웹사이트 디도스보다 어렵다. 공격 대상 DNS주소와 취약점을 미리 알아야하기 때문이다. 대신 좀비PC 수가 많지 않아도 효과를 볼 수 있다.
또 스크립트 방식의 디도스 공격이 처음으로 등장한 것도 주목할 만 하다. 공격자는 특정 웹사이트 접속시 다른 사이트로 패킷을 보내는 스크립트를 일간베스트 등 사용자가 많은 사이트에 심어뒀다. 해당 웹사이트를 방문하는 사용자는 자신도 모르게 미리 설정된 웹사이트에 접속하게 된다.
즉, 일간베스트 사이트 실시간 접속자가 10만명이라면, 공격대상사이트에도 동시에 10만명이 접속한 부하가 걸린다는 의미다.
이를 근거로 추측해볼 때, 해커는 공격에 필요한 좀비PC를 확보하지 못했거나 조사의 혼선을 위해 이러한 수법을 사용한 것으로 보인다.
최 팀장은 “과거에는 하드디스크 파괴, 정보수집 등을 비롯해 일반적인 디도스 공격이 감행됐으나, 이번엔 처음으로 DNS를 노린 공격이 실행됐다”며 “스크립트 방식으로 특정 웹사이트를 공격한 점도 과거와 다른 점”이라고 설명했다.
이외에도 디버깅을 방해하는 더미다(Themida) 패킹 기술이 적용돼 악성코드 분석을 어렵게 했다. 과거에는 안티디버깅을 적용하지 않고 배포했다고 최 팀장은 전했다.
끝으로 최 팀장은 “과거 공격수법과 다소 차이는 있지만 오래전부터 사용됐던 핵심이 동일하기에 공격주체 역시 같을 것으로 보인다”고 강조했다.
<이민형 기자>kiku@ddaily.co.kr
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
[콘텐츠뷰] 디즈니+ '트리거', SBS '그알'이 보인다
2025-01-12 16:50:03 -
개인정보위-美 캘리포니아, 개인정보보호 분야 국제 협력
2025-01-12 12:00:00 -
7년만에 복귀한 지드래곤, 하나금융그룹 새 모델로… 왜 발탁했을까
2025-01-12 11:37:46 -
2025년 세계경제 2.8% 성장 전망… "'5D' 구조적 테마, 경제 전망 주도할 것"
2025-01-12 11:25:41 -
진옥동 신한금융 회장 “구성원이 목적에 공감할 때 ‘일류(一流) 신한’에 더 가까워질 것”
2025-01-12 11:14:41
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.