안랩 "3.4 DDoS공격 7.7때 보다 강력"

일반입력 :2011/03/07 15:18    수정: 2011/03/07 16:31

김희연 기자

안철수연구소(대표 김홍선)는 3.4 분산서비스거부(DDoS)공격을 일으킨 악성코드들의 파일 관계도를 7일 공개했다.

안연구소는 이번 사태는 공격 때마다 파일 구성이 달라지고 새 파일이 추가제작돼 분석 및 대응이 쉽지 않았다며 대응 때마다 공격자가 실시간으로 작전을 변경했고, 공격 종료시점도 지난 7.7대란때와는 달리 기록되지 않았다고 설명했다.

호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못하게 하는 기능도 새로 추가된 것이라는 내용도 덧붙었다.

안 연구소의 설명에 따르면 3.4 DDoS공격은 7.7대란 때와 유사한 점도 있다. 개인사용자 PC가 공격자가 된 점과 배포지로 P2P사이트를 활용한 점, 그리고 외부서버로부터 명령받아 사전 계획이 불명확한 공격 목적에 의해 이뤄졌다는 점이 같다. 뿐만 아니라 좀비PC 하드디스크 및 파일 손상으로 악성코드 수명이 끝난다는 점이 유사하다.안연구소가 4일 오후 6시30분 공격을 분석한 결과, 공격을 유발한 악성코드는 각기 역할이 다른 10여개 파일이 유기적으로 작동하는 것으로 나타났다. SBUpdate.exe가 최초 설치되면, 해외 특정 C&C서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성시킨다. 이 두 파일은 다시 7개의 파일을 생성해 실행되며, 이 때 7개 파일이 다른 역할을 수행하게 되는 것이다.

4일 오전 10시에 발생한 공격도 이와 같은 방식이다. 5일 밤에는 해외특정 C&C서버에서 clijproc.dll 파일이 다운로드 되기도 했다. 이 파일은 다운로드되는 즉시 하드디스크 및 파일을 손상시켰다.

한국인터넷진흥원(KISA)에 따르면 7일 오후 12시까지 집계된 하드디스크 파괴 신고 건수는 140여건이다.

안연구소는 현재까지 발견된 악성코드에서는 추가 디도스 공격에 대한 정보는 확인되지 않았지만, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야한다고 강조했다.

관련기사

즉, 디도스 공격의 발원지인 PC에서 악성코드를 깨끗이 치료하는 것이 가장 중요하다는 얘기다. 또한 인터넷 서비스 제공자(ISP)는 웹사이트가 디도스 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다고 덧붙였다.

김홍선 안철수연구소 대표는 보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다며 이번 공격을 계기로 글로벌 기준에 맞는 대응 프로세스를 구축해야 할 것이라고 말했다.