3.4 디도스 공격, 7.7 대란보다 교묘해져

조한진 기자] 안철수연구소는 지난 4일 오전 10시와 오후 6시 30분에 국내 40개 웹사이트를 대상으로 발생한 분산서비스거부(디도스·DDoS) 공격과 지난 2009년 7.7 DDoS 대란의 차이점과 유사점을 7일 발표했다.

아울러 4일 오후 6시 30분 DDoS 공격을 한 악성코드들의 파일 관계도를 공개했다.

이번 공격의 가장 큰 특징은 7.7 DDoS 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 것이 안철수연구소의 설명이다.

지난 7.7 대란 때는 마지막 DDoS 공격 날인 10일 자정에 하드 디스크와 파일이 손상됐다. 그러나 이번에는 날짜를 이전으로 바꾸거나 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우 하드 디스크와 파일이 손상된다. 공격자가 명령 파일을 다운로드 시켜 즉시 손상되는 것으로 변경한 것이다.

또 손상되는 운영체제도 7.7 때는 닷넷 프레임웍 기반인 윈도우 2000·XP·2003에 한정됐으나 이번에는 모든 윈도우 운영체제가 해당됐다.

7.7 때는 같은 파일 구성으로 여러 차례 공격을 시도했다. 하지만 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작됐다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다.

지난번에는 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이가 있다. 또 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 추가됐다.

이번 공격과 7.7 때의 유사점은 개인 사용자 PC가 DDoS 공격자고 배포지로 P2P 사이트가 활용됐다. 외부 서버로부터 명령을 받으며 사전 계획대로 공격이 이루어졌다는 것과 좀비 PC의 하드 디스크 및 파일이 손상되는 것으로 악성코드의 수명이 끝난다는 점도 비슷하다.

안철수연구소가 분석한 4일 오후 6시 30분 DDoS 공격 유발 악성코드들의 파일 관계도에 따르면 각기 역할이 다른 10여 개의 파일이 유기적으로 작동한다.

SBUpdate.exe이 처음 설치된 후 해외의 특정 C&C 서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행하고 각각의 파일은 다른 역할을 수행한다. 4일 오전 10시에 발생한 공격도 이와 같은 방식으로 이루어졌다.

하지만 5일 밤에는 해외의 특정 C&C 서버에서 clijproc.dll 파일이 새로 다운로드됐다. 이 파일이 다운로드되면서 하드 디스크 및 파일이 곧바로 손상됐다.

안철수연구소는 현재까지 발견된 악성코드에서는 추가 DDoS 공격에 대한 정보는 확인되지 않았으나 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다.

김홍선 안철수연구소 대표는 “보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다”며 “이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다”라고 말했다.

후원하기 기사제보

아시아투데이

3.4 디도스 공격, 7.7 대란보다 교묘해져

많이 본 뉴스

연예가 핫 뉴스

오늘의 주요뉴스