[김국배기자] 25일 일부 정부기관을 대상으로 한 디도스 공격에는 악성 스크립트를 이용한 새로운 방식과 악성코드에 감염된 좀비PC를 이용하는 기존 방식이 혼재돼 있었던 것으로 나타났다.
26일 안랩(대표 김홍선)은 일부 정부기관을 공격한 디도스 공격에 대한 분석 내용을 추가로 발표하며 이같이 밝혔다. 특히 국가적 대형 디도스 공격에 악성 스크립트 방식의 디도스 공격 기법이 사용된 것은 이번이 최초라는 게 회사측 설명이다.
안랩에 따르면 청와대와 국정원, 새누리당 웹 사이트가 악성스크립트 방식의 디도스 공격을 받았고, 정부통합전산센터의 도메인네임서버(DNS)는 좀비PC를 사용한 기존 방식의 디도스 공격을 받은 것으로 확인했다.
◆청와대, 국정원, 새누리당 웹사이트는 악성 스크립트 방식 공격 받아
악성 스크립트 방식의 디도스 공격은 기존 좀비PC를 이용한 공격과 달리 공격자가 특정 웹사이트에 악성 스크립트를 설치하고, 사용자들이 이 사이트를 방문하면 미리 설정해놓은 웹사이트로 공격 트래픽을 발생시키는 방식으로 이뤄진다.
안랩의 분석 결과에 따르면, 사용자가 악성스크립트가 설치된 해당 웹사이트에 정상 접속(방문)하자, 공격자가 타깃으로 정한 청와대와 국정원, 새누리당 웹사이트로 트래픽이 발생하는 것이 확인됐다.
좀비 PC를 통한 디도스 공격에 당한 정부통합전산센터의 경우 공격자는 우선 25일 00시부터 특정 웹하드의 설치 파일과 업데이트 파일을 통해 개인사용자 PC를 악성코드에 감염시켜 좀비PC로 만들었다.
이후 25일 오전 10시에 좀비PC들이 특정 서버를 디도스 공격하도록 공격자가 (악성코드에 명령을 내리는) C&C 서버로 지시를 내린 것으로 확인됐다. DNS 서버는 웹사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는데, 이 DNS서버가 공격을 받아 접속이 원활하지 못했다는 것이다.
공격자는 확보한 좀비PC를 이용해 정부통합전산센터에 있는 두 대의 DNS서버에 무작위로 생성한 방대한 양의 도메인 이름 확인요청을 일시에 보내는 'DNS 디도스 방식'으로 공격을 감행했다.
또한 많은 좀비 PC로 특정 서버에 일괄 접속하는 일반적인 디도스 공격 방식이 아니라 요청하는 정보의 크기를 늘려서 서버에 부하를 주는 방식을 사용했다는 게 안랩 측의 설명이다.
안랩 관계자는 "이번 악성 스크립트를 이용한 디도스 공격은 지금까지 국가적 대형 디도스 공격에 보고된 적이 없는 새로운 공격방식"이라며 "이런 새로운 방식의 디도스 공격을 방지하기 위해서는 웹사이트 운영자들은 자신이 운영하는 웹사이트가 악성코드 유포지나 디도스공격에 이용되는 일이 없도록 보안에 만전을 기해야 한다"고 말했다.
한편, 안랩은 정부기관 디도스 공격에 이용된 악성코드와 별도로 일부 언론사에 대한 디도스 공격 악성코드를 발견했다고 밝혔다. 또한 하드디스크 파괴기능을 가진 악성코드도 추가로 확인했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기