25일 발생한 청와대, 국정원, 여당 홈페이지, 정부통합전산센터를 노린 분산서비스거부(DDoS) 공격은 좀비PC를 동원한 일반적인 방식 외에도 사용자들이 특정 웹사이트에 접속하면 이들 기관의 홈페이지에 대량의 트래픽을 전송하는 수법이 추가로 사용된 것으로 나타났다.
안랩(대표 김홍선)은 26일 일부 정부기관을 공격한 DDoS 공격 중 청와대, 국정원, 여당 홈페이지를 노린 공격에 '악성스크립트 방식'이 사용됐다고 밝혔다. 이는 국내에서 발생한 대형 DDoS 공격에는 처음 사용된 수법이다. 정부통합전산센터의 DNS서버는 기존대로 좀비PC를 동원한 DDoS 공격이 사용됐다.
악성스크립트 방식은 공격자가 특정 웹사이트에 미리 악성스크립트를 설치하고, 이 사이트를 방문하면 미리 지정한 곳에 대한 공격을 수행한다.
안랩은 분석결과 실제로 악성스크립트가 설치된 웹사이트에 방문하면 공격자가 지정한 청와대, 국정원, 여당 홈페이지를 공격하는 트래픽을 발생시키는 것을 확인했다고 밝혔다.
정부통합전산센터 공격은 기존의 좀비PC를 통한 DDoS 공격방식이 이용됐다. 공격자는 우선 25일 자정부터 특정 웹하드의 설치 파일과 업데이트 파일을 통해 방문자의 PC를 악성코드로 감염시킨 후 좀비PC로 만들었다.
이후 25일 오전 10시에 좀비PC들이 특정 서버를 DDoS 공격을 수행하도록 C&C서버로 명령을 내린 것으로 확인됐다. DNS서버는 웹 사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 한다. 국무조정실 등의 정부 유관 기관의 홈페이지는 DNS서버가 공격을 받아 접속이 원활치 않았던 것으로 나타났다.
공격자는 좀비PC를 이용해 정부통합전산센터에 있는 두 대의 DNS서버에 무작위로 생성한 방대한 양의 도메인 이름 확인요청을 일시에 보내는 'DNS DDoS 방식'의 공격을 감행했다. DNS서버는 이를테면 'aaa.co.kr'와 같은 홈페이지 주소를 111.222.333.444 등 인터넷 환경에서 사용되는 IP로 연결시켜주는 기능을 한다.
또한 공격자는 많은 좀비 PC로 특정 서버에 일괄 접속하는 공격 방식 대신 요청하는 정보의 크기를 늘려 서버에 부하를 주는 방식을 사용했다.
안랩 관계자는 악성스크립트를 이용한 DDoS 공격은 지금까지 국가적 대형 DDoS 공격에 보고된 적이 없는 새로운 유형이라며 이를 방지하기 위해 웹사이트 운영자들은 자신이 운영하는 웹사이트가 악성코드 유포지나 DDoS 공격에 이용되는 일이 없도록 보안에 만전을 기해야 하며, 신뢰할 수 없는 사이트 방문을 자제해야한다고 당부했다.
관련기사
- 잉카인터넷, 6.25 악성파일 유포지 두 곳2013.06.26
- 어나니머스, 北고위간부 13명 신원공개 주장2013.06.26
- 케이블방송사도 해킹 피해2013.06.26
- 정부 "해킹 총 16개 기관...유출정보 파악중"2013.06.26
안랩은 일부 언론사에 대한 DDoS 기능을 가진 악성코드와 함께 3.20 사이버 테러때와 마찬가지로 하드디스크 파괴기능을 가진 악성코드도 추가로 확인돼 현재 상세 분석 중이라고 설명했다.
이 회사는 좀비PC를 이용한 기존 방식의 DDoS 공격은 PC사용자들이 백신업데이트 및 정밀검사를 통해 자신의 PC가 좀비화 되지 않도록 관리하는 것이 무엇보다도 중요하다고 밝혔다.