`3.3 디도스 공격`과 `7.7 디도스 공격`의 차이ㆍ유사점은

입력: 2011-03-07 13:29 김지선 기자

폰트

안철수연, 3.3 DDoS공격과 7.7 DDoS공격 차이ㆍ유사점 발표

안철수연구소(대표 김홍선)는 4일 오전 10시와 오후 6시 30분에 국내 40개 웹사이트를 대상으로 발생한 분산서비스거부(DDoS) 공격과 2009년 7.7 DDoS 대란의 차이점과 유사점을 7일 발표했다.

회사에 따르면, 이번 공격의 가장 큰 특징은 7.7 DDoS 대란과 유사했지만 더욱 업그레이드된 공격을 했다는 것이다. 우선, 7.7 때는 마지막 DDoS 공격 날인 10일 자정에 하드 디스크와 파일이 손상됐다. 당시 백신을 설치하지 않은 PC에서는 날짜를 변경하도록 안내했다. 그런데 이번에는 날짜를 이전으로 바꾸거나, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에 하드 디스크와 파일이 손상된다. 또 공격자는 명령을 파일을 다운로드시켜서 즉시 손상되는 것으로 변경했다.

7.7 때는 같은 파일 구성으로 여러 차례 공격했으나, 이번에는 공격 때마다 파일 구성이 달라지고 새로운 파일이 추가 제작돼 분석 및 대응에 시간과 노력이 더 들었다. 대응을 할 때마다 공격자가 실시간으로 작전을 변경한 셈이다. 공격 종료 시점이 명확했던 것과 달리 이번에는 종료 시점이 기록되지 않았다는 것도 차이점이다. 또한 호스트 파일 변조로 백신 업데이트를 방해해 치료하지 못 하게 하는 기능도 새로 추가됐다.

회사는 이번 공격과 7.7 때의 유사점은 개인 사용자 PC가 DDoS 공격자이고, 배포지로 P2P 사이트가 활용됐으며, 외부 서버로부터 명령을 받으며, 사전 계획대로 공격이 이루어졌다는 점이다. 또 공격 형태와 대상이 유사하고, 공격 목적이 불명확하다는 점, 좀비 PC의 하드 디스크 및 파일이 손상되는 것으로 악성코드의 수명이 끝난다는 점이다.

안철수연구소가 분석한, 4일 오후 6시 30분에 디도스 공격을 유발한 악성코드들의 파일 관계도에 따르면 각기 역할이 다른 10여 개의 파일이 유기적으로 작동한다. SBUpdate.exe이 처음 설치된 후 해외의 특정 C&C 서버에 접속하는 동시에 ntcm63.dll, ntds50.dll 파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행한다. 이 7개의 파일은 역할이 각기 다르다.

즉, mopxsvc.dll 파일은 faultrep.dat(C&C서버 주소를 저장함) 파일을 참조해 C&C 서버에 접속해 명령을 받아온다. watcsvc.dll 파일은 tlntwye.dat 파일(DDoS 공격 시각 정보를 담음), tljoqgv.dat 파일(공격 대상 웹사이트 40개의 정보를 담음)을 참조해 DDoS 공격을 수행한다. 또한 soetsvc.dll 파일은 noise03.dat(최초 감염 시각을 저장함) 파일을 참조해 하드 디스크 및 파일을 손상시킨다. 4일 오전 10시에 발생한 공격 또한 이와 같은 방식으로 이루어진다. 한편, 5일 밤에는 해외의 특정 C&C 서버에서 clijproc.dll 파일이 새로 다운로드됐다. 이 파일이 다운로드되는 즉시 하드 디스크 및 파일이 손상됐다.

안철수연구소에 따르면 7일 오전 10시 현재 하드 디스크 손상 신고 건수는 30여 건이다.회사는 월요일 기업ㆍ기관의 업무 시작을 맞아 안철수연구소 웹사이트 접속이 폭주하고 있는데, 모든 V3 사용자는 실시간 사용 중이면 안심해도 되며, 여타 사용자만 전용백신을 내려받아 검사하면 된다고 설명했다.

한편, 안철수연구소는 현재까지 발견된 악성코드에서는 추가 DDoS 공격에 대한 정보는 확인되지 않았으나, 변종 제작 등 유사한 사태가 벌어질 가능성에 대비해야 한다고 강조했다. 또 인터넷 서비스 제공자는 웹사이트가 DDoS 공격을 받더라도 서비스 장애가 발생하지 않도록 전문 장비를 구축하고 네트워크 트래픽을 상시 모니터링하는 보안관제 서비스를 이용하는 등 전방위 보안 대책이 필요하다고 덧붙였다.

김홍선 안철수연구소 대표는 "보안을 단순히 제품으로 볼 것이 아니라 프로세스로 접근해야 한다"며 "이번 일을 계기로 각 기업과 기관은 날로 지능화하는 보안 위협에 대응할 수 있도록 글로벌 기준에 맞는 대응 프로세스를 구축해야 한다"고 강조했다.

김지선기자 dubs45@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

`3.3 디도스 공격`과 `7.7 디도스 공격`의 차이ㆍ유사점은

이 시간 핫클릭

핫 이슈!