좀비PC 이어 '좀비서버'....신종 공격 등장

일반입력 :2012/12/27 15:08    수정: 2012/12/28 08:30

손경호 기자

분산서비스거부(DDoS) 공격의 새로운 유형이 발견됐다. PC를 악성코드에 감염시켜 좀비PC로 만든 뒤 DDoS 공격을 감행하는 것과 달리, 보안이 취약한 서버를 감염시킨 뒤 이를 일명 '좀비서버'로 이용하는 수법이 등장했다.

27일 한국인터넷진흥원(KISA)은 DDoS 공격에 홈페이지 전용 서버가 악용되는 공격이 발생하고 있다며 서버 관리자들에게 각별한 주의를 당부했다.

최근 발견된 유형은 좀비PC가 아닌 홈페이지 서버를 악성코드에 감염시켜 좀비서버로 만든다. KISA는 주로 리눅스 홈페이지 서버가 이 같은 수법에 악용되고 있다고 밝혔다.

지금까지 해킹 당한 서버는 내부정보 유출, 다수의 좀비PC 확보를 위한 악성코드 유포지, 공격 명령을 내리는 조종서버로 악용돼 왔다. 이와 달리 새로 발견된 수법처럼 서버가 DDoS 공격을 수행하는 경우는 이례적이라고 KISA는 설명했다.

KISA의 분석 결과에 따르면 새로운 공격유형은 먼저 해커가 공개용 게시판 프로그램의 취약점을 통해 홈페이지를 해킹한 후 악성 파일을 이용해 서버용 DDoS 공격 프로그램 파일을 생성한다. 그 뒤 해커가 자신이 생성한 공격 프로그램 파일에 접속해 명령을 내리면 웹서버는 해커의 명령대로 공격을 수행한다. 즉 해킹된 서버는 명령을 내리는 조종서버와 DDoS 공격을 수행하는 좀비서버 두 가지 역할을 동시에 수행하게 되는 것이다.

서버 감염에 사용된 악성파일은 'group_****.jpg', 'visitLog.php'이며 DDoS 공격프로그램의 파일명은 'udp.php', 'tcp.php', 'cc.php' 등이다.

서버는 일반적으로 PC보다 높은 시스템 자원을 보유하고 있어 대규모의 공격이 가능하지만 리눅스 서버의 경우 백신 사용률이 낮아 공격 프로그램을 탐지하기가 어렵다. 이 때문에 관리자가 직접 관련 파일을 제거해야만 공격을 멈출 수 있다.

이에 따라 서버 관리자들은 공개용 게시판 등 사용하는 프로그램을 취약점이 없는 최신 버전으로 업데이트하고 이번에 이용된 악성파일 및 공격 프로그램 파일이 존재하는지를 점검해 삭제해야 한다고 KISA는 당부했다.

관련기사

또한 이러한 해킹 예방을 위해서는 홈페이지 개발단계에서부터 보안을 고려해 제작하고, 방화벽과 같은 보안시스템 사용 및 정기적인 취약점 점검 등 상시 보안점검이 필요하다.

KISA는 홈페이지 취약점 점검 서비스(http://toolbox.krcert.or.kr)와 무료로 배포하는 홈페이지 보안도구 휘슬, 캐슬을 사용해 이 같은 공격으로부터 도움을 받을 수 있다고 밝혔다.