고성인터넷뉴스

  • 3•4 DDoS 공격에 관해 궁금한 12가지 이야기
  • 고성인터넷뉴스

안철수연구소 세일즈마케팅팀 대리 김동빈

 

1. DDoS 공격이란 무엇입니까?

 

DDoS 공격은 ‘분산서비스거부(Distributed Denial Of Service)’ 공격의 약자로, 특정 서버에 다량의 트래픽을 보내어 서버를 다운시키거나 네트워크를 지연시켜 서비스를 불가능하게 만드는 것입니다. 이는 이른바 좀비 PC라고 불리는 감염 PC를 조정하여 특정시간에 특정 사이트를 공격합니다.

 

즉, 수만에 달하는 여러 대의 컴퓨터를 동작하게 하여 특정 웹사이트에 동시에 접속함으로써 해당 사이트의 시스템 과부화를 유발해 정상적인 서비스를 할 수 없는 상태가 되도록 만드는 것입니다.

 

2. 좀비 PC란 무엇입니까?

 

좀비(Zombie) PC란 악성코드에 감염되어 악성코드 제작자의 의도에 따라 명령을 수행하는 PC를 말합니다. 악성코드에 감염된 좀비 PC는 사용자도 모르게 DDoS 공격에 이용돼 특정 사이트로 대량의 트래픽을 전송하는 역할을 합니다. 또한 해커가 원할 경우, PC에 담긴 개인정보를 빼내거나 시스템을 손상시킬 수도 있습니다.

 

다시 말해 좀비 PC란 ‘사용자가 모르는 사이에 해커의 원격 조정을 받는 PC’로, 원격지에 있는 악성코드 제작자의 명령에 의해 조정된다는 의미에서 좀비라는 용어로 불리게 된 것입니다.

 

3. 7•7 DDoS 공격과 3•4 DDoS 공격의 차이점은 무엇입니까?

 

우선, 2009년에 발생했던 7•7 DDoS 공격은 미국의 주요 기관을 시작으로 한국의 주요 사이트까지 총 23개 기관 및 기업을 대상으로 공격이 발생하였습니다. 그러나 이번 3•4 DDoS 공격은 총 40개의 국내 주요 기관 및 기업을 대상으로 공격이 발생하였다는 점에서 차이가 있습니다.

 

또한 7•7 DDoS 공격은 약 3일간 공격이 지속되도록 설정되어있던 반면, 이번 3•4 DDoS 공격의 경우에는 공격 시작 시간은 정해져 있었지만 공격 기간이나 종료 시점이 설정되어있지 않았습니다. 이와 함께 하드디스크 및 파일 손상을 야기하는 기능은 공통적이었으나, 7•7 DDoS 공격에서는 마지막 공격 일자인 10일 자정에 하드디스크가 파괴되도록 설정되어있던 반면, 3•4 DDoS 공격에서는 기존에 날짜를 정할 수 있었을 뿐만 아니라 추후 공격자가 임의로 손상 날짜를 바꿀 수 있도록 되어있었습니다.

 

아울러 이용된 좀비 PC의 수가 7•7 DDoS 공격에서는 약 11만 여대에 달했던 반면, 이번 3•4 DDoS 공격에서는 7만 여대에 불과했습니다. 즉, 원하는 만큼 충분한 수의 좀비 PC를 확보하지 못 한 것이 이번 DDoS 공격이 사실상 실패로 끝난 이유로 생각할 수 있으며, 동시에 하드디스크 손상 날짜를 ‘즉시’로 변경한 이유로 볼 수 있습니다. 그 밖의 차이점 및 유사점은 [표 1]과 같습니다.

 

 

7•7 DDoS 공격

(2009년 7월 7일)

3•4 DDoS 공격

(2011년 3월 4일)

차 이 점

좀비PC수

(정부 발표)

115,044대

77,207대

공격대상

(사이트 기준)

청와대와 백악관 등 한국과 미국의 주요 사이트 23개

청와대 등 정부 사이트, 네이버 등 국내 주요국가 사이트 및 주한 미군 등 40개

손상 운영체제

닷넷 프레임워크 기반

윈도우 2000/XP/2003

모든 윈도우 운영체제

공격 지속기간

2010년 7월 7일부터 약 사흘간 공격 지속

시작 시간은 있으나 끝나는 시간은 공격자의 의지

파일구성

같은 파일구성으로 여러차례 공격

공격 때마다 파일 구성이 달라져 분석에 어려움 발생

하드디스크 및

파일 손상

- 마지막 DDoS 공격 일자인 10일 자정에 하드디스크와 파일이 손상

 

- 당시 백신을 설치하지 않은 PC에서는 날짜를 이전으로 바꿔야 했음.

- 날짜를 이전으로 바꾸거나, 감염 시점을 기록한 noise03.dat 파일을 삭제할 경우에도 하드 디스크와 파일이 손상

 

- 공격자가 임의로 손상 날짜를 바꿀 수 있음.

 

- 2011년 3월 5일 밤 9시를 기점으로 명령 서버로부터 새로운 명령 파일이 다운로드 돼 즉시 손상되는 것으로 변경

Hosts 파일조작

Hosts 파일조작 없음

안철수연구소 도메인을 127.0.0.1로 강제설정

대응 방식

제대로 준비되지 않은 상태에서 대대적 혼란 야기

7.7 디도스 이후 기업/기관들의 준비가 있었고, 유관기관과의 협조로 피해 최소화

유 사 점

공격에 사용된 PC

주로 개인 사용자들의 PC

배포지

P2P 사이트

기타

유사한 공격 형태와 대상 / 불분명한 공격목적 / 감염PC의 MBR파괴

 

[표 1] 7•7DDoS 공격과 3•4 DDoS 공격의 차이점 및 유사점

 

4. 지난 7•7 DDoS 공격에 비해 이번 3•4 DDoS 공격이 그다지 파괴력이 없어 보입니다. 사실입니까?

 

사실입니다. 이번 3•4 DDoS 공격은 공격 대상 사이트가 40개에 달해 7•7DDoS 공격 당시 23개였던 것보다 공격 규모가 컸음에도 불구하고 실질적인 피해는 크지 않았습니다. 29개 사이트를 대상으로 1차 공격이 발생했지만 대부분의 사이트는 곧 복구돼 정상적으로 서비스를 제공했습니다. 같은 날 오후 6시 30분에 총 40개 사이트를 대상으로 2차 공격이 발생했지만 역시 별 다른 피해가 발생하지 않았습니다. 이후 공격 대상이 급격히 줄어든 3차 공격 또한 효과적인 대응으로 차단할 수 있었습니다.

 

특히 안철수연구소는 지난 7•7DDoS 공격 이후 고도화된 DDoS 대응 프로세스를 구축하였으며, 이번 3•4 DDoS 공격을 무력화시킴으로써 그 결실을 맺을 수 있었습니다. 우선, ASEC(시큐리티대응센터)의 악성코드 분석을 통해 어떠한 종류의 네트워크 공격 유형인지 미리 예측했기 때문에 공격 시간은 물론, 공격에 관한 제반 정보를 CERT(침해사고대응센터) 및 관제 인력과 공유했습니다.

 

또한 안철수연구소의 네트워크 제품군인 트러스가드와 트러스가드 DPX에 시그니처를 반영하여 네트워크 장비의 역할을 충분히 발휘할 수 있도록 했습니다. 뿐만 아니라 CERT 및 보안 관제, 네트워크 지원 인력은 공유된 공격 정보를 바탕으로 운영 중인 고객사 네트워크 장비의 차단 정책을 설정하고 네트워크 자원 효율적으로 활용해 고객의 사이트를 안전하게 지켜낼 수 있었습니다. 아울러 안철수연구소의 DNA Map 기술에 의해 악성코드 유포자들의 특징을 보다 신속하게 확인할 수 있었던 점도 보다 효과적으로 대응할 수 있었던 이유로 볼 수 있습니다.

 

무엇보다 7•7DDoS 공격의 경험을 토대로 정부와 민간기관들의 발 빠른 대응이 있었을 뿐만 아니라 개인 PC 사용자들의 적극적인 대처가 이번 3•4 DDoS 공격을 무력화하는데 큰 역할을 했다고 할 수 있습니다.

 

5. 이번 3•4 DDoS 공격의 유포지가 P2P 사이트라고 발표했습니다. 안철수연구소에서 어떻게 그렇게 빠르게 유포지를 파악할 수 있었습니까?

 

실제로 이번 3•4 DDoS 공격은 사전에 유포지를 다 찾아내었다는 것이 7•7DDoS 공격과의 가장 큰 차이였다고 할 수 있습니다. 안철수연구소가 DDoS 공격에 대한 정보를 파악하고 사전 대응이 가능했던 것은 클라우드 컴퓨팅 개념의 악성코드 대응 시스템인 ASD(AhnLab Smart Defense, 이하 ASD)이 있었기 때문입니다. ASD는 클라우드 환경에서 실시간으로 위협 탐지가 가능하기 때문에 이번 3•4 DDoS 공격에 이용된 악성코드의 샘플을 실시간으로 수집하고, 이 악성코드를 유포한 6개의 P2P 사이트를 밝혀내는 냈습니다.

 

특히 알려지지 않은 변종을 탐지하기 위해 DDoS 에서 사용된 C&C 서버의 IP에 접속하는 프로그램을 추적하는 시스템을 가동했습니다. 이를 통해 C&C 서버 리스트, 공격자 리스트 정보를 빠르게 수집할 수 있었던 것입니다. 그러나 무엇보다 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스가 유기적으로 협조가 이러한 기술력이 충분히 발휘될 수 있었습니다. 이들 조직의 전문성과 노력을 토대로 안철수연구소는 신속하게 악성코드 유포지를 찾는 것은 물론, 가장 선제적으로 이번 3•4 DDoS 공격에 대응할 수 있었습니다.

 

6. 숙주 서버(C&C)는 어느 나라에 있습니까?

 

좀비PC를 제어한 숙주서버 (C&C)는 접속 테스트 결과 미국, 호주, 베네수엘라, 대만, 포르투갈, 세르비아, 이탈리아, 브라질, 이란, 태국, 그리스, 인도 등 여러 국가에 흩어져 있는 것으로 확인되었습니다.

 

7. 하드디스크 데이터 손상건과 관련해 어떤 증상들이 나타납니까?

 

하드디스크 파괴 명령이 전달되면 먼저 A~Z의 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 복구할 수 없도록 손상시킵니다. 또한 A~Z의 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터 작동이 되지 않게 됩니다.

 

이 경우, PC를 켰을 때 부팅이 되지 않습니다. PC를 켜면 도스화면에서 OS를 찾을 수 없다(Operating system not found)는 등의 메시지가 나타납니다. 감염 시 부팅에 필요한 MBR 영역이 훼손됩니다. 그 결과 OS를 부팅 시 부팅이 되지 않는 것입니다.

 

8. 각 개인 PC 사용자들이 이러한 피해를 입지 않으려면 어떻게 해야 하나요?

 

이번 하드디스크 파괴 증상은 명령서버로부터 명령을 받고 일정 기간이 지난 후에 동작했던 2009년 7•7 DDoS 공격 때와는 달리, 명령을 받는 즉시 동작하도록 설정되어있습니다. 따라서 이용자들은 PC를 켤 때 반드시 안전모드로 부팅하여 DDoS 전용백신을 다운로드 받아 안전한 상태에서 PC를 사용해야 합니다. 보다 상세한 조치는 다음과 같습니다.

 

1) 네트워크 연결선(LAN선)을 뽑는다.

2) PC를 재시작한 후 F8을 눌러 (네트워크 가능한)안전모드를 선택하여 부팅한다.

3) 네트워크를 재연결한 후 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속하여 DDoS 전용백신 다운로드(※ PC가 이미 켜져 있는 경우에는 전용백신 곧 바로 다운로드)

4) DDoS 전용백신으로 악성코드 치료 후 PC 재부팅한다.

 

그러나 무엇보다 악성코드에 감염되지 않도록 주의해야 합니다. 따라서 악성코드 유포지로 활용되는 정보공유사이트에는 당분간 접속을 자제하는 것이 바람직하겠습니다. 아울러 이후에도 백신 제품을 최신 엔진으로 업데이트하고 실시간 감시를 동작시켜 재차 감염되는 것을 방지해야 합니다.

 

9. 기존에 V3를 깔아놓았더라도 3•4 DDoS 전용 백신을 설치해야 하나요?

 

그렇지 않습니다. 이번 3•4 DDoS 공격의 원인이 되었던 악성코드 및 그 변종의 발견 즉시, V3에 최신 엔진 업데이트가 적용되었기 때문입니다. 따라서 V3 이용자들이 최신 업데이트를 적용했다면 3•4 DDoS 전용백신을 설치하는 것은 불필요합니다. 다만 기존에 V3를 설치하셨다 하더라도 최신 업데이트 적용을 하지 않은 사용자라면 위협에 노출되기 쉽습니다. 따라서 기 설치된 V3에 대한 최신 업데이트를 반드시 적용하셔야 합니다.

 

10. 전용백신을 쓰면 V3와 충돌이 되거나 다른 문제가 생기지는 않나요?

 

전혀 문제가 되지는 않습니다. 다만 V3에는 해당 업데이트가 적용되어 있기 때문에 별도로 전용백신을 설치할 필요가 없을 뿐입니다. 즉, V3 Lite, V3 365 클리닉, V3 IS 8.0 등 V3 사용자의 경우, 최신 엔진 업데이트만 적용하면 하드디스크손상 방지 등 이번 3•4 DDoS 공격과 관련된 문제를 해결할 수 있습니다. 아울러 평소에도 백신 설치는 기본이며, 백신 설치 후에도 항상 최신 업데이트를 적용하는 것이 가장 중요합니다. 최신 엔진 업데이트가 적용된 백신만이 신종 또는 변종 악성코드의 위협으로부터 PC를 지켜줄 수 있기 때문입니다.

 

11. 스마트폰이나 태블릿 PC에도 3•4 DDoS 전용 백신을 설치해야 하지 않을까요?

 

이번 3•4 DDoS 공격은 윈도우 운영체제의 PC만이 해당되기 때문에 안드로이드 등 운영체제가 다른 스마트폰이나 태블릿 PC에는 3•4 DDoS 전용 백신을 설치할 필요가 없습니다. 그러나 최근 스마트폰이나 태블릿 PC와 같은 스마트 모바일 기기를 노리는 모바일 악성코드가 증가하면서 이른바 ‘좀비 폰’과 모바일 기기를 이용한 DDoS 공격의 가능성이 제기되고 있는 것은 사실입니다.

 

따라서 안전한 모바일 기기 이용을 위해 모바일 전용 백신을 설치하는 것이 바람직합니다. 안철수연구소는 안전한 스마트폰 사용을 위해 모바일 전용 백신 V3 Mobile을 제공하고 있으며, 국내에서 출시된 대다수의 스마트폰 단말기에 기본 탑재되어 있어 편리하게 이용하실 수 있습니다. 모바일 백신의 경우에도 백신의 최신 업데이트 적용이 반드시 수반되어야 합니다.

 

12. 개인 PC에 백신만 깔려 있으면 이번 사태를 막을 수 있었을까요?

 

물론 개인 PC에 백신이 깔려있다면 최소한 좀비 PC가 되는 것을 막을 수 있습니다. 특히 설치해둔 백신에 대한 지속적인 보안 업데이트와 점검이 반드시 동반되어야만 신종/변종 악성코드에 의한 좀비 PC화되는 것을 막을 수 있습니다. 또한 백신을 설치했다면 실시간 감시와 엔진 자동 업데이트를 실행해야 합니다. 또한 대부분의 악성코드는 윈도우 취약점을 악용하기 때문에 MS에서 정기적으로 발표하는 윈도우 패치를 반드시 업데이트해야 합니다. 이밖에 신뢰할 수 없는 인터넷 사이트에서 액티브X를 설치하거나 파일을 다운로드하는 것을 주의해야 합니다.

 

그러나 백신은 악성코드가 발견된 뒤 치료하기 때문에 어느 정도 한계가 있는 것도 사실입니다. 이에 안철수연구소에서는 클라우드 컴퓨팅 개념을 도입한 AhnLab Smart Defense 기술을 적용해 DDoS 공격에 이용되는 악성코드는 물론 알려지지 않은 악성코드에도 실시간으로 대처할 수 있도록 준비하고 있습니다.

 

DDoS 공격은 네트워크 트래픽 현상으로만 바라보는 것은 매우 좁은 시각입니다. 이번 3•4 DDoS 공격에서도 볼 수 있듯이 악성코드 유포를 위해 파일공유 사이트와 같이 잘 알려진 웹 페이지를 해킹하여 악성코드를 배포하여 좀비 PC를 생성합니다. 이렇게 생성된 ‘좀비 PC’에 설치된 ‘특정 공격 툴(Tool)’ 또는 ‘악성코드’가 네트워크 트래픽을 발생하게 되는 과정을 가지고 있습니다. 따라서 네트워크 레벨에서 클라이언트 레벨까지 전 영역에 대한 전방위적 방어체제를 갖추고 있어야 합니다.

 

안철수연구소는 네트워크 트래픽 기반의 공격은 DDoS 공격 대응 전용 제품인 트러스가드(TrusGuard) DPX가 담당하고 있습니다. 또한 클라이언트 레벨의 악성코드 탐지 및 치료는 V3 IS 8.0•V3 365 클리닉•V3 Lite 등 V3 제품군이 맡고 있습니다. 더불어 웹 페이지의 안전한 관리를 위한 웹 페이지 모니터링 솔루션, 사용자 기반 웹 보안 솔루션으로 악성코드 유포를 차단하고 있습니다. 즉, 네트워크 서버 측면에서뿐만 아니라 클라이언트 측면에서 좀비 PC 해결 및 DDoS 대응이 가능하다는 것이 안철수연구소의 강점이라 할 수 있습니다.

 

또한 이 모든 프로세스는 안철수연구소의 클라우드 보안 전략 ACCESS(AhnLab Cloud Computing E-Security Service) 하에 전개되고 있습니다. ACCESS는 기존 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이라 할 수 있습니다. 바로 이러한 플랫폼을 통해 DDoS 공격의 근원지부터 분석 및 대응, 배포 과정을 대응 프로세스 관점에 신속하게 제공함으로써 종합적인 대응 체제가 가능합니다.

 

안철수연구소 세일즈마케팅팀 대리 김동빈

 

 

  * QOOK-TV 신청은 070-7092-0174, 010-6686-7693

목록으로